Në një postim në blog, Microsoft tha se ishte një çështje "hetimi i vazhdueshëm" se si hakerat morën një çelës nënshkrimi të Microsoft që u abuzua për të falsifikuar argumentet e vërtetimit që u lejonin hakerëve aksesin në kutitë hyrëse sikur të ishin pronarët e ligjshëm. Raportet thonë se objektivat përfshijnë Sekretaren e Tregtisë së SHBA-së, Gina Raimondo, zyrtarë të Departamentit të Shtetit të SHBA-së dhe organizata të tjera që nuk janë zbuluar ende publikisht.

Microsoft zbuloi incidentin të martën e kaluar, duke ia atribuar aktivitetin një mujor një grupi spiunazhi të sapo zbuluar që e quan Storm-0558, i cili beson se ka një lidhje të fortë me Kinën. 

Agjencia amerikane e sigurisë kibernetike CISA tha se hakimet, të cilat filluan në mesin e majit, përfshinin një numër të vogël llogarish qeveritare që thuhej se ishin njëshifrore dhe se hakerët kishin shfrytëzuar disa të dhëna të paklasifikuara të postës elektronike. Ndërsa qeveria e SHBA nuk i ka atribuar publikisht hakimet, zëdhënësi i lartë i ministrisë së jashtme të Kinës i mohoi akuzat të mërkurën.

Aty ku Kina ka përdorur dobësi të panjohura më parë për të hakuar në mënyrë individuale serverët e email-it të fuqizuar nga Microsoft për të vjedhur të dhënat e korporatës, ky grup hakerimi shkoi drejtpërdrejt te burimi duke synuar dobësitë e reja dhe të pazbuluara në renë kompjuterike të Microsoft.

Në postimin e tij në blog, Microsoft tha se hakerat morën një nga çelësat e nënshkrimit të konsumatorit ose çelësin MSA, të cilin kompania e përdor për të siguruar llogaritë e emailit të konsumatorëve, si për të hyrë në Outlook.com. Microsoft tha se fillimisht mendoi se hakerët po falsifikonin argumentet e vërtetimit duke përdorur një çelës të blerë të nënshkrimit të ndërmarrjes, të cilat përdoren për të siguruar llogaritë e postës elektronike të korporatave dhe ndërmarrjeve. Por, Microsoft zbuloi se hakerat po përdornin atë çelës MSA të konsumit për të falsifikuar argumentet që i lejonin ata të depërtonin në kutitë hyrëse të ndërmarrjeve. Microsoft tha se kjo ishte për shkak të një "gabim verifikimi në kodin e Microsoft".

Microsoft tha se ka bllokuar "të gjithë aktivitetin e aktorëve" në lidhje me këtë incident, duke sugjeruar se incidenti ka përfunduar dhe se hakerët kanë humbur aksesin. Megjithëse është e paqartë se si Microsoft humbi kontrollin e çelësave të vet, kompania tha se ka forcuar sistemet e saj të lëshimit të çelësave, me sa duket për të parandaluar hakerat që të nxjerrin një çelës tjetër skeleti dixhital.

Hakerët bënë një gabim kyç. Duke përdorur të njëjtin çelës për të vjedhur disa kuti hyrëse, Microsoft tha se kjo i lejoi hetuesit "të shihnin të gjitha kërkesat për qasje të aktorëve që ndiqnin këtë model si në sistemet e ndërmarrjeve ashtu edhe në sistemet e konsumatorëve". Për të kuptuar, Microsoft e di se kush ishte komprometuar dhe tha se i njoftoi të prekurit.

Me kërcënimin e menjëhershëm që mendohet se ka përfunduar, Microsoft tani përballet me shqyrtimin e tij për trajtimin e incidentit, që mendohet të jetë shkelja më e madhe e të dhënave të paklasifikuara të qeverisë që nga fushata e spiunazhit rus që hakoi SolarWinds në 2020.

Siç vërehet nga Dan Goodin i Ars Technica, Microsoft bëri përpjekje të mëdha për të bërë kontrollin e dëmit në postimin e tij në blog, duke shmangur termat si "zero-ditë", duke iu referuar kur një prodhues softuerësh ka zero ditë njoftim për të rregulluar një cenueshmëri që tashmë është shfrytëzuar. . Pavarësisht nëse defekti ose shfrytëzimi i tij përshtaten apo jo me përkufizimin e të gjithëve për një ditë zero, Microsoft bëri gjithçka për të shmangur përshkrimin e tij si të tillë, apo edhe për ta quajtur atë një dobësi.

Përkeqësimi i rrjedhjes së çelësit dhe keqpërdorimi i tij ishte mungesa e dukshmërisë ndaj ndërhyrjeve nga vetë departamentet qeveritare. Microsoft gjithashtu po merr nxehtësi për rezervimin e regjistrave të sigurisë për llogaritë e qeverisë me paketën e nivelit të lartë të kompanisë që mund të ketë ndihmuar reaguesit e tjerë të incidenteve të identifikojnë aktivitetin keqdashës.

CNN fillimisht raportoi se Departamenti i Shtetit zbuloi shkeljen dhe ia raportoi atë Microsoft. Por jo çdo departament qeveritar kishte të njëjtin nivel të regjistrimit të sigurisë, i cili sipas The Wall Street Journal ishte i disponueshëm për departamentet me llogari të nivelit më të lartë të paguar të Microsoft, por jo për të tjerët. 

Mary Jo Foley, kryeredaktore e Directions on Microsoft, një firmë konsulence për klientët e Microsoft, tha në një postim në blog të hënën se niveli i ulët i qeverisë ofron disa regjistrime, por “nuk mban gjurmët e të dhënave specifike të kutisë postare që do të kishin zbuluar sulmin. Një zyrtar i CISA kritikoi mungesën e regjistrimit të disponueshëm në një telefonatë me gazetarët javën e kaluar. Microsoft i tha Journal se po "vlerësonte reagimet".