【大纪元2015年12月31日讯】(大纪元记者秦雨霏报导)微软前雇员日前透露,微软专家几年前就已经确定,中共当局黑客已经攻击一千多个Hotmail电邮账号,特别是瞄准西藏和新疆流亡领导人。但是微软公司当时决定不告诉受害人,允许黑客继续攻击。
微软公司周三(12月30日)首次向路透社证实,它没有通知Hotmail用户他们的电子邮件被人窃取。但是微软说,它将改变政策,未来当怀疑有政府黑客攻击的时候,它将告知电邮客户。
第一次攻击在2011年5月被披露。当时安全公司Trend Micro宣布,它发现寄给一名台湾人的电邮包含一个微型程序。这个程序利用微软网页先前未发现的一个漏洞,将Hotmail用户的所有接收邮件转发到攻击者控制的账号。
Trend Micro发现一千多名受害者。在这家安全公司公布它的发现之前,微软修补了这个漏洞。
据微软两名前雇员透露,微软当年也启动了它自己的调查,发现一些邮件劫持从2009年7月就开始了,并且攻破了维吾尔和西藏流亡高级领导人、日本和非洲外交官以及中国国内人权律师的电邮。
一些攻击来自于中国网络AS4808。该网络跟一些大型间谍活动有关,包括2011年攻击存储巨头EMC公司安全部门RSA的服务器,美国情报官员公开将此次袭击归咎于中共。
微软官员没有否认攻击来自于中国,但是说有一些来自于其他地方。
微软告诉路透社,随着威胁形势演变,他们的对策也在演变。未来如果再发生攻击,他们不但将通知和指导电邮用户,而且会阐明他们是否有理由相信攻击者是“国家支持的”。
发现入侵 微软强迫用户选择新密码
前雇员向路透社披露,在2011年,在微软内部爆发激烈争论之后,公司决定不明确告知用户他们的账号遭到入侵。相反,它只是强迫用户选择新密码,但没有披露原因。
雇员说,很可能当时黑客已经进入受害人的电脑,因此可以看到新输入的密码。
两名知情人说,微软高管不发布明确警告的一个原因是,他们害怕触怒中共政府。
事关人命
路透社报导说,不清楚微软未能警告用户,他们可能被政府黑客攻击给用户造成的损失是什么。但是一些受影响的人说,他们现在深深担忧风险,特别是那些在中国国内的人士。
世界维吾尔大会副主席萨伊特(Seyit Tumturk)说,互联网服务提供商和电邮提供商具有道德责任让用户知道他们被黑客攻击。他的账号也被入侵。他说这事关人命。
新疆的动荡近年已经导致数百人死亡。北京指责伊斯兰激进份子,而人权团体说,中共对维吾尔人严厉的宗教和文化控制才导致暴力。
谷歌、雅虎、脸书、推特纷纷曝光“国家黑客”
微软前雇员告诉路透社,直到本周三之前,微软一直拒绝明确警告用户遭到国家支持的黑客攻击。而谷歌在2012年就开始这样做。在2011年的案件当中,微软也不愿意发布一个更加宽泛的黑客警告。而雅虎和脸书都曾经发布这样的警告。
这两家公司跟推特一道,最近几个月宣布,他们将追随谷歌的做法,明确通知用户遭到疑似国家支持的黑客攻击。
谷歌说,它现在平均每几个月发布数万份黑客攻击的警告,接受警告的用户常常采取行动改善他们的安全措施,比如双因素身份验证。
责任编辑:孙芸
