Uma falha de segurança em um aplicativo da Microsoft poderia ter deixado dados sensíveis dos Estados Unidos expostos. Em 2016, Andrew Harris, especialista em cibersegurança, foi contratado pela empresa para proteger as redes mais sensíveis do país contra hackers. Enquanto investigava uma invasão em uma grande empresa de tecnologia americana, Harris descobriu uma falha em um aplicativo da Microsoft, que permitia a invasores se passarem por funcionários legítimos e acessar dados sensíveis sem disparar alarmes.

A reportagem foi publicada pela ProPublica. A falha, presente em um produto usado por milhões para acessar computadores de trabalho, poderia expor informações valiosas de segurança nacional, propriedade intelectual corporativa e e-mails pessoais comprometedores. Harris, que já havia trabalhado no Departamento de Defesa, alertou seus colegas sobre a gravidade da situação. No entanto, seus alertas foram recebidos de maneira diferente pela empresa.

O governo federal estava prestes a fazer um grande investimento em computação em nuvem, e a Microsoft queria esse contrato. Reconhecer a falha poderia comprometer as chances da empresa, que temia perder um acordo bilionário e a liderança no mercado de computação em nuvem.

Apesar dos esforços de Harris para convencer a Microsoft a corrigir a falha, a empresa optou por trabalhar em uma solução a longo prazo, deixando os serviços de nuvem vulneráveis. Harris chegou a alertar pessoalmente alguns dos clientes mais importantes da empresa, mas, frustrado com a inação, ele deixou a empresa em agosto de 2020.

Ataque russo meses depois

Poucos meses depois, os temores de Harris se concretizaram. Hackers russos patrocinados pelo Estado realizaram o ataque SolarWinds, uma das maiores invasões cibernéticas da história dos EUA. Eles usaram a falha identificada por Harris para acessar dados confidenciais de várias agências federais, incluindo a Administração Nacional de Segurança Nuclear e o Instituto Nacional de Saúde, que na época trabalhava em pesquisas sobre a COVID-19 e a distribuição de vacinas.

A investigação da ProPublica ocorre enquanto o Pentágono busca expandir o uso de produtos Microsoft, uma medida que tem atraído escrutínio de legisladores federais em meio a uma série de ataques cibernéticos ao governo. Smith deve testemunhar na quinta-feira (20) perante o Comitê de Segurança Interna da Câmara, que examina o papel da Microsoft em uma violação perpetrada no ano passado por hackers ligados ao governo chinês. Os invasores exploraram falhas de segurança da Microsoft para acessar e-mails de altos funcionários dos EUA.

Microsoft responde

A Microsoft declarou que seu compromisso principal é a segurança e que já iniciou esforços para adotar as recomendações do Conselho de Revisão de Segurança Cibernética. O CEO da empresa, Satya Nadella, afirmou aos funcionários que a segurança deve ser priorizada acima de tudo.

Harris disse que a Microsoft priorizou decisões de negócios em detrimento da segurança do cliente. Ele observou que a empresa temia que a correção da falha alienasse grandes clientes governamentais e prejudicasse as chances da Microsoft em contratos de computação em nuvem com o governo, incluindo um grande contrato com o Pentágono.

Além disso, a Microsoft estava em intensa competição com a empresa Okta, que oferecia produtos de identidade na nuvem. A correção proposta por Harris afetaria a vantagem competitiva da companhia, adicionando "fricção" à experiência do usuário.

Após a divulgação do ataque, Harris expressou sua frustração publicamente, criticando a Microsoft por não alertar os clientes sobre a falha e não priorizar uma correção de longo prazo. Ele disse que a falta de transparência da empresa colocou muitos clientes, especialmente o governo dos EUA, em uma situação vulnerável.