Microsoft, Hold Security’nin anlaşmayı yanlış nitelendirdiğini iddia ederek ve davada siber güvenlik firması tarafından öne sürülen iddiaları reddederek bu iddiaları reddediyor.
Teknoloji devi Microsoft, bu kez çalınan kimlik bilgilerini kötüye kullandığı iddiasıyla yine sıcak suda. Siber istihbarat firması Hold Security LLC, şirketi suçladı ve Seattle, Washington’daki King County Yüksek Mahkemesinde dava açtı.
Şirket, Microsoft’u Hold Security veritabanının bir parçası olan Dark Web’den toplanan 360 milyondan fazla güvenliği ihlal edilmiş kimlik bilgisini kötüye kullanmakla suçladı. Bilgin olsun, Hold Security LLC; tehdit istihbaratı, karanlık ağ ihlali izleme ve olay müdahale hizmetlerinde uzmanlaşmış bir siber güvenlik şirketidir.
Güvenliğin Duruşunu Koruyun
Hold Security, 2014 yılında Microsoft’a, müşterilerinin güvenliğini sağlamak için güvenliği ihlal edilmiş oturum açma kimlikleri ve parolaları içeren veritabanına erişim izni vermek için bir anlaşma imzalamıştı. Şimdi ise Milwaukee merkezli firma, Microsoft’un bu anlaşmanın Microsoft ile ilişkisi olmayan kimlik bilgilerini imha etmemek gibi çeşitli şartlarını ihlal ettiğini iddia ediyor.
Per Hold Security, Microsoft yalnızca müşterilerinin kayıtlarına erişebilir ve bu hesaplara bağlı verileri müşterilere bildirdikten sonra silebilir. Ancak Redmond merkezli firma buna uymadı ve veri tabanını kötüye kullandı.
Hold Security’nin hukuk ekibi, “Tarafların anlaşmalarının amacı … Microsoft’un alınan çalınan kimlik bilgilerini kendi müşterilerinin hesap kimlik bilgileriyle eşleştirmesi ve bu müşterileri tehlikeye atılan bilgiler konusunda uyarmasıydı” dedi.
Davanın Detayları
Dava, iki satın almaya dayanıyor: siber güvenlik birliğinden iki ünlü şahsiyet arasındaki bir Twitter alışverişi ve Microsoft’un Trickbot kötü amaçlı yazılımını çalıştıran suç ağını bozma çabası.
Veritabanının kötüye kullanıldığı iddiası dört yıl önce başladı. Microsoft’un şirket içi güvenlik belirteci hizmeti Active Directory Federasyon Hizmetleri/ADFS’yi oluşturmak için çalınan hesap kimlik bilgilerine “uygunsuz ve yetkilendirme olmadan” eriştiği iddia ediliyor. Ancak, Microsoft’un bu kimlik bilgilerini hizmeti oluşturmak için nasıl kullandığı henüz belli değil.
Ayrıca şirket, Hold’un veritabanındaki hesapları GitHub ve LinkedIn’i yönetmek için uygunsuz ve yetkisiz kullanmakla suçlanıyor. Microsoft’un bu hizmetleri iki şirket arasında imzalanan anlaşmanın ardından aldığını belirtmekte fayda var.
Ayrıca Microsoft, geçmiş verilere “el koymakla” ve bunları Edge tarayıcısı aracılığıyla üçüncü taraflarla paylaşmakla suçlanıyor. Nasıl paylaşıldığı da açıklığa kavuşturulmalı. Hold Security, Microsoft’un verilerini başka şekillerde kötüye kullandığından da şüpheleniyor.
Şirket, bu kötüye kullanımı 2021 yılında keşfetti ve ardından CEO’su Alex Holden, bu konuyu Microsoft ile görüştü. Holden ayrıca, Microsoft’un bir anlaşma ihlali ortaya çıktıktan sonra kendisine ve şirketine karşı bir taciz kampanyası yürüttüğünü ve Microsoft’un TrickBot ağını çökerttiğinde çalışanlardan Hold Security ile çalışmayı bırakmalarını istediğini iddia etti.
Ayrıca Holden, Microsoft çalışanlarının Twitter’da yanlış bilgiler yayınlamasının siber güvenlik muhabiri Brian Krebs’i Hold Security’nin yönetim kurulundan istifa etmeye zorladığını belirtti. Ancak Krebs bu iddiayı doğrulamadı.
Microsoft’un Yanıtı
Tersine Microsoft, Hold Security’nin anlaşmayı yanlış nitelendirdiğini iddia ederek bu iddiaları reddediyor ve siber güvenlik firmasının davada öne sürdüğü iddiaları reddediyor. İşte Hold’un iddialarına karşı Microsoft tarafından yayınlanan açıklama.
“Geçtiğimiz birkaç ay içinde Microsoft, tarafların sözleşme ilişkisine ilişkin bir anlaşmazlığı dostane bir şekilde çözmek için Hold Security’nin temsilcileriyle temas halindeydi. Davadaki iddialar, sözleşmenin şartlarını doğru bir şekilde yansıtmadığından Microsoft, iddiaların reddedilmesini isteyecektir.”
Microsoft, yaklaşan işten çıkarma hareketinde daha fazla ayrıntı paylaşacak. Bu nedenle, bizi izlemeye devam edin; bu makale buna göre güncellenecektir.
İLGİLİ MAKALELER
- PayPal, 35.000 Kullanıcının Veri İhlali Nedeniyle Dava Açtı
- Equifax, 143 milyon veri saldırısının ardından Milyarlarca dava açtı
- Microsoft, çalışanlarını çocuk p**n’ye maruz bıraktığı için dava açtı
- Microsoft, sinir bozucu Windows 10 yükseltmeleri nedeniyle dava açtı
- Google, Kullanıcıları Gizli Modda İzleme Konusunda Dava Açıyor