از میان شرکت های Fortune 500، تنها یاهو نبود که تلاش می کرد حوادث مربوط به افشاء اطلاعاتی گسترده را مخفی نگه دارد. گزارش شده که، مایکروسافت چهار و نیم سال پیش (در سال ۲۰۱۳ میلادی) ، زمانی که یک گروه نفوذ بسیار خطرناک، پایگاه داده گزارش آسیب پذیری و ردیابی وصله را افشاء کرد، از این افشاء اطلاعاتی آسیب دید، اما تاکنون هیچ وقت این نفوذ به صورت عمومی منتشر نشد.
طبق اظهارات پنج کارمند سابق این شرکت، که هر یک جداگانه با رویترز مصاحبه کرده اند، مشخص شد که پایگاهداده افشاء شده، با روش دسترسی کمی پیشرفتهتر از پسورد محافظت شده بود. آنها بر این باورند که این حادثه، بعد از آسیبپذیری روز-صفرم مهمی که در نرمافزار ردیابی آسیبپذیری باگزیلای موزیلا در سال ۲۰۱۴ میلادی کشف شد، دومین مورد افشاء پایگاهداده شرکتی است که شناخته شده است.
همانطور که از نام آن مشخص است، پایگاه داده گزارش آسیبپذیری و ردیابی وصله برای ویندوزها حاوی اطلاعاتی درباره آسیبپذیریهای مهم و وصلهنشده در برخی نرمافزارهای پراستفاده در جهان، از جمله سیستمعامل ویندوز مایکروسافت، است. با چنین پایگاهدادهای، این گروه نفوذ میتواند بهرهبرداریهای روز-صفرم و سایر ابزارهای نفوذ سیستمهای هدف در سراسر جهان را توسعه دهد. برای توضیح این مساله که یک آسیبپذیری روز-صفرم قادر به انجام چه کاری است، نمونهای بهتر از حملهی باجافزار WannaCry وجود ندارد.
اریک رزنباخ، معاون وزیر دفاع آمریکا در حوزه سایبری در زمان افشاء گفت: «افراد خرابکار با دسترسی داخلی به این اطلاعات، یک کلید اصلی برای صدها میلیون کامپیوتر در سرتاسر جهان دارند.» زمانی که مایکروسافت در اوایل سال ۲۰۱۳ میلادی افشاء پایگاهداده را کشف کرد، به کارکنان شرکت، هشدار داد. به دنبال نگرانیهایی که در مورد استفاده نفوذگرها از آسیبپذیریهای به سرقت رفته برای انجام حملات جدید وجود دارد، غول فنآوری، مطالعاتی برای مقایسه زمان وقوع افشاءها با زمانی که آسیبپذیریها در پایگاهداده وارد شدند و زمانی که آنها وصله شدند، انجام داد.
همچنین مطالعات مشخص کردند که حفرههای امنیتی موجود در پایگاهداده به سرقت رفته، در حملات سایبری مورد استفاده قرار گرفتند. مایکروسافت معتقد است که نفوذگران میتوانستند این اطلاعات را از جای دیگری به دست آورند، و هیچ شواهدی مبنی بر اینکه اطلاعات به سرقت رفته در این افشاءها مورد استفاده قرار گرفته است، وجود ندارد.
کارمندان سابق مایکروسافت تایید کردند که غول فنآوری، پس از حادثهی نفوذ سال ۲۰۱۳ میلادی، امنیت خود را افزایش داد و چند لایهی احزار هویت برای حفاظت از سیستم گزارش آسیبپذیری اضافه کرد.
با این حال، سه نفر از کارمندان مایکروسافت معتقدند که مطالعات انجام شده توسط مایکروسافت این مساله را رد نمیکند که آسیبپذیریهای به سرقت رفته در حملات سایبری آینده استفاده شوند، و غول فنآوری نیز تحقیقات کاملی درباره این حادثه انجام نداده است. مایکروسافت از صحبت در مورد این حادثه خودداری کرد و گفت: «تیمهای امنیتی ما به طور فعال بر تهدیدات سایبری نظارت میکنند تا به اولویتهای ما کمک کنند و اقدام مناسبی برای حفاظت مشتریان انجام دهند.»
