报道引述多达5名微软前员工指出,这个资料库包含了许多常用软件也包含Windows作业系统的重大及未修补漏洞资讯。微软对此拒绝评论。
该报道指出,微软在2013年初发现资料库遭到黑客入侵,当时黑客团体已经前後入侵多家软件公司,包括苹果、脸书、推特等。这个被称为Morpho、Butterfly及Wild Neutron团体入侵Mac电脑上的Java软件漏洞後,再进入微软公司网络。不过这个黑客团体和政府部门是否有关联,安全专家们说法莫衷一是。
微软当时曾简短声明承认遭到入侵,包括Mac部门在内的一小部分电脑曾遭到恶意程式感染。微软并未详细说明情形,只表示没有证据显示有客户资料受到影响。
消息人士指出,这个资料库原本防护薄弱,可能只设了密码而已。事发後微软立刻拉高安全层级,将该资料库自公司网络下线,还增设二种存取验证机制。而由於微软的漏洞影响层面广大,微软决定不公布此事,同时在接下来几个月内,尽速将自有软件的漏洞修补程式派送给客户,但也不排除已经有人成功取得这些漏洞资讯,用它来黑入民间公司或其他国家的网络及系统。之後微软也曾多次办理爬虫大赛,以加速产品漏洞的发现及修补。
此事在维基解密及媒体揭露政府单位如美国国安局(NSA)、中情局(CIA)建立攻击工具军火库後格外的引人瞩目,原因是这些单位曾被爆为了情采目的,积极采集软件公司的漏洞,甚至发现後却对软件业者隐匿不报。
而这些政府工具和资料一旦外流後果不堪设想。今年引发全球灾情的WannaCry,即是黑客利用NSA外泄的窃密工具入侵微软软件漏洞的结果。
