A Microsoft vem enfrentando severas avaliações após o incidente de segurança ocorrido no mês passado no Azure. O diretor executivo da Tenable, Amit Yoran, postou no LinkedIn dizendo que o histórico de segurança cibernética da Microsoft é “ainda mais fraco do que se pensa” – e ele tem provas para apoiar tal afirmação.
No dia 12 de julho, a Microsoft anunciou uma falha que permitiu que um grupo de hackers da China, conhecido como Storm-0558, acessasse cerca de 25 organizações diferentes. Como resultado, e-mails confidenciais de funcionários do governo americano foram roubados. Na semana passada, o senador Ron Wyden (D-OR) escreveu uma carta ao Departamento de Justiça dos Estados Unidos, exigindo que a Microsoft seja responsabilizada pelas “práticas de segurança cibernética inadequadas”.
Yoran contribui à discussão do legislador, postando que a Microsoft apresentou “uma história contínua de negligência em relação à segurança cibernética”, que permitiu aos piratas chineses espiarem o governo americano. Além disso, ele também menciona que a Tenable encontrou uma deficiência de segurança adicional no Microsoft Azure, que a empresa demorou para consertar.
Tenable descobriu inicialmente o problema em março e constatou que poderia permitir aos cibercriminosos acesso aos dados confidenciais de uma companhia, inclusive de um banco. Segundo Yoran, a Microsoft levou “mais de 90 dias para estabelecer uma correção parcial” após a Tenable notificá-la, declarando ainda que a correção só se aplicava a “aplicações novas carregadas no serviço”. Yoran também afirmou que o banco e todas as outras entidades que haviam implementado o serviço antes da correção ainda estavam suscetíveis ao problema, sem saber do risco.
A Microsoft tinha a intenção de solucionar o problema até o fim de setembro, algo que Yoran considerou “altamente irresponsável, se não descaradamente”. No entanto, logo após a publicação do post de Yoran, a Microsoft lançou uma correção. Ela informou que a vulnerabilidade poderia ter resultado na “divulgação de informações não intencionais”, mas que ninguém além da equipe da Tenable conseguiu explorar a falha. A Tenable publicou mais detalhes sobre isso.
A Microsoft afirma que é necessário confiar nela, mas são poucas as demonstrações de transparência. Esta falta de clareza gera uma cultura tóxica de confusão. Como pode um CISO, conselho de diretores ou equipe executiva acreditar que a Microsoft fará o melhor, tendo em conta o seu desempenho e as atitudes reais?
A Wiz, companhia de segurança, informou na semana passada que a invasão no Azure pode ter sido maior do que foi inicialmente estimado, embora a Microsoft tenha contestado os achados. Yoran também observou os dados do Google Project Zero que apontam para o fato de que os produtos da Microsoft representam 42,5% de todas as falhas de segurança descobertas desde 2014.
O diretor sênior da Microsoft, Jeff Jones, emitiu uma declaração por e-mail à The Verge para responder às críticas de Yoran.
Agradecemos a contribuição da comunidade de segurança para divulgar os problemas do produto de maneira responsável. Seguimos um processo extenso que envolveu uma investigação abrangente, a criação de atualizações para todas as versões de produtos afetados e testes de compatibilidade, bem como outros sistemas operacionais e aplicações. A desenvolvimento de uma atualização de segurança é um equilíbrio delicado entre prontidão e qualidade, garantindo ao mesmo tempo a proteção do cliente com o mínimo de interrupção para o usuário.
A Microsoft tem sido afetada por vários vazamentos de dados recentemente, incluindo o hack da Solar Winds que afetou agências governamentais dos EUA. Também houve um ataque que afetou mais de 30.000 organizações devido a problemas no software Microsoft Exchange Server. Em breve, o governo dos EUA vai obrigar as empresas a serem mais abertas sobre questões de segurança, pois novas regulamentações da Comissão de Valores Mobiliários e Títulos exigirão que empresas divulguem um hack dentro de quatro dias de sua detecção.
Atualização em 4 de agosto às 17:37 ET: A Microsoft corrigiu a falha identificada.