Os Estados Unidos da América (EUA) acusam a Microsoft de negligência, por uma série de decisões operacionais que levaram a um ciberataque de ‘hackers’ chineses, pondo em causa informações confidenciais de altos funcionários.
Um relatório do Governo dos EUA, divulgado esta segunda-feira, aponta que Microsoft foi negligente na forma possibilitou um ciberataque de ‘hackers’ chineses.
Os EUA concluíram que a intrusão nos servidores da Microsoft – que permitiu o acesso aos e-mails de vários altos funcionários norte-americanos – se deveu a uma “cascata de erros evitáveis” por parte da gigante tecnológica.
O Conselho de Revisão de Segurança Cibernética (CSRB), liderado pelo Departamento de Segurança Interna dos EUA, conduziu uma investigação de sete meses sobre o incidente que envolveu o ‘ator’ de espionagem cibernética Storm-0558, afiliado à China.
A operação, descoberta pela primeira vez pelo Departamento de Estado dos EUA em junho de 2023, incluiu a pirataria de e-mails oficiais e pessoais da secretária de Estado do Comércio, Gina Raimondo, e do embaixador dos EUA na China, Nicholas Burns.
O vice-presidente do CSRB, Dmitri Alperovitch, chamou Storm-0558 e outros atores semelhantes de “ameaça persistente e perniciosa” que têm “a capacidade e a intenção de comprometer sistemas de identidade para aceder a dados confidenciais, incluindo e-mails de pessoas de interesse do governo chinês”.
Padrões de segurança não foram cumpridos
A Microsoft fornece serviços de ‘cloud’ (computação remota), como Azure ou Office360, incluindo o armazenamento de dados confidenciais para muitas empresas e governos.
O relatório critica a cultura corporativa da Microsoft por estar “em desacordo com a posição central da empresa no ecossistema tecnológico e com o nível de confiança que os clientes depositam na empresa”.
“A ‘cloud’ é uma das infraestruturas mais críticas que temos”, sublinhou o presidente do CSRB, Robert Silvers.
“É imperativo que os provedores de serviços em ‘cloud’ priorizem a segurança e a integrem desde o projeto”, acrescentou.
O estudo destacou uma série de decisões operacionais e estratégicas tomadas pela Microsoft que abriram caminho para o ciberataque, incluindo a falha na identificação do computador portátil comprometido de um novo funcionário.
Também descobriu que a Microsoft não cumpriu os padrões de segurança de empresas concorrentes de ‘cloud’, incluindo Google, Amazon e Oracle.
“A comissão considera que esta intrusão poderia ter sido evitada e nunca deveria ter ocorrido”, pode ler-se no relatório, que destaca “a cascata de erros evitáveis da Microsoft que permitiram que esta intrusão tivesse sucesso”.
O relatório também recomenda que a Microsoft desenvolva e torne público um plano programado para implementar reformas de segurança abrangentes.
ZAP // Lusa
