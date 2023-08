Na semana passada, o senador Ron Wyden enviou uma carta à Agência de Segurança Cibernética e Infraestrutura (CISA), ao Departamento de Justiça e à Comissão Federal de Comércio (FTC) pedindo que responsabilizem a Microsoft por um padrão repetido de práticas negligentes de segurança cibernética, que permitiu espionagem chinesa contra o governo dos Estados Unidos.

De acordo com dados do Google Project Zero, os produtos da Microsoft representaram um total de 42,5% de todos os dias zero descobertos desde 2014.

A falta de transparência da Microsoft se aplica a brechas, práticas de segurança irresponsáveis e vulnerabilidades, todas as quais expõem seus clientes a riscos que são deliberadamente ocultados por eles.

Em março de 2023, um membro da equipe de pesquisa da Tenable estava investigando a plataforma Azure da Microsoft e serviços relacionados. O pesquisador descobriu uma falha (detalhada neste link) que permitia a um invasor não autenticado acessar aplicações cross-tenant e dados confidenciais, como segredos de autenticação.

Para se ter uma ideia da gravidade do problema, nossa equipe descobriu rapidamente segredos de autenticação de um banco. Eles estavam tão preocupados com a seriedade e a ética do problema que notificaram a Microsoft imediatamente.

A Microsoft corrigiu rapidamente o problema que poderia efetivamente levar à violação de redes e serviços de vários clientes? Claro que não. Foram necessários mais de 90 dias para implementar uma correção parcial, e apenas para novas aplicações carregadas no serviço.

Isso significa que, a partir de hoje, o banco a que me referi anteriormente ainda está vulnerável, mais de 120 dias desde que relatamos o problema, assim como todas as outras organizações que implementaram o serviço antes da correção.

E, até onde sabemos, eles ainda não têm ideia de que estão em risco e, portanto, não podem tomar uma decisão informada sobre controles de compensação e outras ações de mitigação de risco. A Microsoft alega que corrigirá o problema até o final de setembro, quatro meses após nossa notificação.

Isso é extremamente irresponsável, para não dizer extremamente negligente. Nós conhecemos o problema, a Microsoft conhece o problema e esperemos que os criminosos cibernéticos não conheçam o problema.

Os provedores de nuvem há muito adotam o modelo de responsabilidade compartilhada. Esse modelo é irremediavelmente quebrado se o seu fornecedor de nuvem não o notificar sobre os problemas à medida que eles surgirem e aplicar as correções abertamente.

O que se ouve da Microsoft é "confie em nós", mas o que se tem é muito pouca transparência e uma cultura de ofuscação tóxica. Como um CISO, um conselho ou uma equipe executiva pode acreditar que a Microsoft fará a coisa certa, considerando os padrões de fatos e comportamentos atuais? O histórico da Microsoft coloca todos nós em risco. E é ainda pior do que pensávamos.