EUA culpa Microsoft por 'série de erros' em ataque cibernético chinês
Invasão nos servidores permitiu o acesso aos e-mails de vários altos funcionários de Washington
Agência de notícias
Publicado em 3 de abril de 2024 às 14h34.
Última atualização em 3 de abril de 2024 às 14h42.
Um duro relatório do governo americano descobriu que uma invasão nos servidores da Microsoft por parte de um grupo de hackers chineses ocorreu por uma "série de erros evitáveis" por parte do gigante tecnológico do Vale do Silício. O ataque permitiu o acesso aos e-mails de vários altos funcionários de Washington.
A Junta de Revisão de Segurança Cibernética (CSRB), dirigida pelo Departamento de Segurança Nacional americano, realizou uma investigação que durou sete meses para resolver o incidente que envolveu o Storm-0558, um agente de ciberespionagem vinculado à China.
Esse ato de pirataria, que foi descoberto pela primeira vez pelo Departamento de Estado dos Estados Unidos em junho de 2023, incluiu ataques a caixas de e-mail oficiais e também pessoais da secretária de Comércio, Gina Raimondo, assim como a do embaixador americano na China, Nicholas Burns.
O estudo, divulgado na segunda-feira, criticou uma cultura corporativa da Microsoft "em desacordo com a centralidade da empresa no ecossistema tecnológico e o nível de confiança que os clientes depositam na empresa".
O principal negócio da Microsoft é proporcionar serviços de computação em nuvem, como o Azure e o Office360, que abrigam dados confidenciais e impulsionam operações comerciais e governamentais nos principais setores da economia.
"A informática na nuvem é uma das infraestruturas mais críticas que temos, já que abriga dados confidenciais e impulsiona as operações comerciais em toda nossa economia", disse o presidente da CSRB, Robert Silvers.
"É imperativo que os provedores de serviços na nuvem deem prioridade à segurança e a incorporem desde o projeto", acrescentou.
A investigação identificou uma série de decisões operacionais e estratégicas da Microsoft que abriram a porta para a invasão virtual, incluindo a falha para identificar o computador portátil comprometido de um empregado novo após uma aquisição corporativa em 2021.
Também descobriu que a Microsoft não cumpriu com os padrões de segurança observados em empresas concorrentes do setor, incluindo Google, Amazon e Oracle.