Hackere fik i 2013 adgang til Microsofts hemmelige database med kritiske sårbarheder i Windows og virksomhedens andre software-produkter.
Kritiske sårbarheder som endnu ikke var blevet lukket.
Hackerne stjal oplysninger om sårbarhederne, der efterfølgende blev brugt i andre angreb, men alligevel valgte Microsoft ikke at fortælle offentligheden om sagen.
Hackerne fik adgang til Microsoft ved at udnytte en sårbarhed i Java til at inficere en hjemmeside med malware. Hjemmesiden var populær blandt softwareudviklere, og derfor fik hackerne held til at inficere maskiner hos en række store tech-virksomheder – heriblandt Microsoft.
Microsoft fortalte dengang blot om en mindre sikkerhedshændelse, men tidligere ansatte bekræfter overfor Reuters, at man godt vidste, at sagen var alvorlig.
”De opdagede helt sikkert, at sårbarhederne var blevet stjålet. Men jeg mener ikke, at de gjorde særlig meget ud af at undersøge, om sårbarhederne blev brugt,” siger en tidligere Microsoft medarbejder.
Kritiserede NSA for det samme
I forbindelse med cyberangrebet WannaCry, der lammede virksomheder over hele verden tidligere på året, kritiserede Microsoft selv NSA og de amerikanske myndigheder for ikke at offentliggøre deres viden om sårbarheder i populær software.
Angrebet udnyttede en sårbarhed i ældre Windows-versioner, som hackergruppen Shadow Brokers angiveligt har stjålet fra NSA. Og derfor mente Microsofts chef-jurist, Brad Smith, at de amerikanske myndigheder bar en stor del af skylden for WannaCry.
"Gentagne gange er sårbarheder, som myndigheder har registreret, blevet lækket til offentligheden. Vi har set sårbarheder, som CIA har registreret, dukke op på WikiLeaks, og nu har denne sårbarhed, som er blevet stjålet fra NSA, ramt kunder over hele verden," skrev han dengang i et blogindlæg.
Microsoft afviser at uddybe, hvorfor man i 2013 valgte ikke at fortælle, at hackere havde stjålet ikke-patchede sårbarheder i virksomhedens software.
Læs også: Microsoft: USA bærer skylden for weekendens enorme ransomware-angreb
