Microsoft får kraftig kritikk i en rapport bestilt av Biden-administrasjonen. Rapporten handler om en ondsinnet cyberkampanje som ledet til datainnbrudd i blant annet Microsofts skybaserte Exchange-tjeneste sommeren 2023. Angriperne, som knyttes til de kinesiske myndighetene, kompromitterte innboksene til 22 virksomheter og mer enn 500 enkeltpersoner globalt.

Innbruddet ble ifølge rapporten gjort mulig ved å benytte autentiseringsbevis som ble signert med en nøkkel som Microsoft opprettet i 2016. Selskapet har ennå ikke kunne si noe om når eller hvordan angriperne fikk tak i nøkkelen.

I rapporten heter at kombinert med en annen feil i Microsofts autentiseringssystem, gjorde nøkkelen gjorde det mulig for angriperne å få tilgang til bortimot enhver Exchange Online-konto i verden. Cyber Safety Review Board, som har skrevet rapporten, konkluderer med at inntrengningen aldri skulle ha skjedd, og at den kinesiske gruppen lyktes på grunn av en kaskade med sikkerhetsfeil hos Microsoft.