ช่วงก่อนหน้านี้ การจะทำ forensic Office365 เพื่อดูว่า Hacker เมื่อแฮ็คเข้าไปได้แล้วไปทำอะไรบ้าง ไปอ่านอะไรบ้าง เข้าถึงอะไรบ้าง เป็นไปได้ยาก เพราะปกติจะไม่มี audit log อะไรให้เหล่าคนทำ forensic ได้สืบค้น

แต่ดันมีข่าวลือออกมาว่า ‘Microsoft นั้นมีการเก็บ audit log เหล่านั้นไว้ แต่จะต้องเข้าถึงได้แค่ผ่าน “secret tool” อันหนึ่งเท่านั้น โดยเครื่องมือดังกล่าวจะถูกเก็บไว้ขายเฉพาะบริษัทในราคา premium เท่านั้น’ นั่นคือเสียงลือเสียงเล่าอ้างที่มีมาแต่อดีต

เมื่อ Sherri Davidoff ได้ทราบ แล้วได้มีโอกาสพบกับ Microsoft Security Team ก็ได้ถามถึงเครื่องมือดังกล่าว ซึ่งทางทีมก็บอกว่าไม่มีนะ เครื่องมือที่ว่า แต่ข่าวลือก็ยังไม่หายไปและยังมีคงมีการลือหนักขึ้นเรื่อยๆ

ทาง Sherri ได้ลองโพสต์ถามใน reddit ดูว่าใครมีเครื่องมือดังกล่าวหรือเปล่า ให้เอาออกมาพิสูจน์หน่อย

มีคนในนั้นกล่าวว่ามันมีอยู่จริง เครื่องมือดังกล่าวจะเชื่อมต่อไปยัง office365 ผ่าน API ที่ไม่มีการเปิดเผยเพื่อดึง audit log ดังกล่าวแต่เค้าให้รายละเอียดมากไม่ได้เพราะถูกห้ามไว้

“Its True. All of it. The Dark Side of o365. The Jedi who can perform this magic,”

จนกระทั่งเมื่อวันที่ 8 มิถุนายนที่ผ่านมา ทาง Anonymous อยู่ดีๆก็ออกมาเปิดเผย API ดังกล่าว

หลังจากนั้น 10 วัน ทาง Crowdstrike ก็ได้ปล่อยเครื่องมือที่ใช้ API ดังกล่าวออกมา ซึ่งก็คือการดึง activity log ของ outlook ออกมาได้ ทำให้เหล่า forensic จะสามารถทำงานได้อย่างง่ายมากขึ้น เห็นภาพของการกระทำและกำหนดความเสียหายที่ Hacker ทำได้

การที่ API ดังกล่าวหลุดออกมา กลายเป็นการตั้งคำถามกลับไปยัง Microsoft ถึงจิตสำนึกและจรรยาบรรณของการให้บริการว่าทำไมถึงปกปิดแบบนี้ หรือนี่คือการพยายามทำธุรกิจใหม่ของ Microsoft ด้วยการพยายามขายข้อมูลที่สำคัญแบบนี้ให้กับเหล่า security แทนที่จะเปิดเผยอย่างตรงไปตรงมา

คราวนี้ก็ต้องดูต่อไปว่า Microsoft จะทำยังไงกับข่าวนี้ต่อไปครับ