Os senadores querem respostas do chefe de TI do Departamento de Estado sobre como hackers, supostamente da China, invadiram contas de e-mail de diplomatas da Microsoft no início deste ano, enquanto as autoridades planejavam visitas de alto risco a Pequim para o secretário de Estado Anthony Blinken e outros funcionários do gabinete.
Em uma carta enviada na quarta-feira à diretora de informações do Departamento de Estado, Kelly Fletcher, e obtida exclusivamente pela Newsweek , 14 senadores de ambos os partidos estão pedindo detalhes sobre a extensão da violação e o cronograma em que foi corrigida.
A Microsoft revelou em 11 de julho que os hackers “adquiriram” uma chave criptográfica mestra, que lhes permitiu representar quase qualquer usuário dos serviços de calendário e e-mail do Outlook baseados em nuvem da empresa, o que significa que eles poderiam fazer logon como essa pessoa e copiar todo o tráfego de e-mail. e compromissos do calendário.
A carta, originalmente redigida pelo senador Eric Schmitt, R-Mo., foi assinada por colegas do Partido Republicano, incluindo Rick Scott da Flórida e Bill Hagerty do Tennessee; e pelo presidente democrata do Comitê de Relações Exteriores do Senado , Ben Cardin, de Maryland, e vários de seus colegas, incluindo Tim Kaine, da Virgínia. Ele pede um “briefing fechado e não classificado” para membros e funcionários até 6 de setembro.
A intrusão, que começou em meados de maio e foi descoberta um mês depois, teria permitido que Pequim visse o planejamento de diplomatas para uma sucessão de visitas de alto risco à China em junho e julho por membros do gabinete dos EUA, incluindo Blinken, a secretária de Comércio Gina Raimondi e a secretária do Tesouro, Janet Yellen , segundo ex-funcionários.
O hack levantou questões sobre o relacionamento da Microsoft com a China e se isso cria riscos para o governo dos EUA, que depende fortemente dos serviços e produtos da gigante de tecnologia com sede em Redmond, Washington.
A carta dos senadores também pede que Fletcher explique como ela planeja “garantir uma arquitetura de segurança cibernética mais robusta e em camadas que inclua vários fornecedores de segurança cibernética para e-mails não classificados”, destacando a preocupação crescente no Congresso sobre o domínio crescente de um único fornecedor de software, a Microsoft, em todo o mundo. o governo federal.
A Microsoft, que já fornece , segundo algumas estimativas, 85% dos sistemas operacionais de TI e software de escritório do governo dos EUA, agora também está tentando vender ferramentas de segurança cibernética, começando, como destacou o relatório anterior da Newsweek , com o Pentágono .
Se o governo federal usa produtos da Microsoft para todos os seus sistemas operacionais de computador, software de escritório e ferramentas de segurança, “você está colocando todos os seus ovos em uma cesta, e uma cesta que claramente tem alguns buracos”, disse Adam Meyers, vice-presidente de inteligência da CrowdStrike, empresa de segurança cibernética que concorre com a Microsoft no mercado de ferramentas de segurança.
Este último hack, que a Microsoft diz ter atingido duas dúzias de organizações nos Estados Unidos e na Europa, ocorre em meio a questões renovadas sobre a segurança do software produzido pela gigante da tecnologia, a segunda maior empresa do mundo em capitalização de mercado.
“Precisamos saber muito mais sobre esse ataque do que sabemos agora”, disse Ryan Kalember, vice-presidente executivo da empresa de segurança cibernética Proofpoint, que também compete com a Microsoft em alguns de seus negócios.
A Microsoft disse em 11 de julho que descobriu toda a extensão da invasão e a conteve completamente, mas pesquisadores de segurança independentes sugeriram na semana passada que o alcance do acesso dos hackers pode ter sido muito mais amplo do que se pensava inicialmente por causa do poder e alcance do a chave mestra criptográfica que os hackers adquiriram.
Os tokens de acesso que podem ser forjados com essa chave mestra “são como passaportes no mundo da Microsoft”, admitindo usuários e dando-lhes direitos no sistema, disse Kalember. Esses tokens são importantes para a usabilidade, explicou ele, porque permitem que os usuários façam login uma vez e usem vários serviços sem precisar fazer login novamente a cada vez.
Mas o alcance aparentemente ilimitado dos tokens que os hackers conseguiram forjar destacou um sério problema com a arquitetura de segurança da Microsoft, disse ele.
“A chave não deve funcionar em todas as fechaduras”, disse Kalember. “Mas com a Microsoft é tudo igual.”
Ele disse que o simples alcance da chave, cujas versões podem estar disponíveis para empresas chinesas que fizeram parceria com a Microsoft, destacou a questão dos relacionamentos bastante amigáveis da empresa na China.
“A Microsoft faz negócios na China”, disse Kalember. “Eles têm todos os tipos de desenvolvedores e parceiros de consumo lá, eles têm uma subsidiária chinesa.”
Os hackers chineses “podem ter obtido a chave dessa maneira. Sabemos que os agentes de ameaças na China já abusaram” desse tipo de relacionamento, disse ele.
O hack também destacou as acusações de que a empresa está aumentando sua receita anual de mais de US$ 200 bilhões cobrando mais por serviços que podem ser usados para rastrear hackers em seu sistema.
Essas alegações remontam à campanha de hackers Solar Winds de 2020, quando espiões russos invadiram dezenas de departamentos e agências federais. Muitos que foram vítimas do hack não conseguiram descobrir onde os hackers poderiam estar ou o que poderiam ter roubado porque os logs de eventos de que precisavam estavam disponíveis apenas para clientes premium que pagavam à Microsoft por um serviço de nível superior.
Por mais de dois anos, executivos da Microsoft e autoridades americanas disseram que estavam trabalhando na questão, mas nenhum progresso visível foi feito.
Então, em 11 de julho, Rick Wagner, o presidente da Microsoft Federal, a subsidiária que vende para o governo dos Estados Unidos, repentinamente deixou seu emprego , e a Microsoft revelou o hack do Outlook, que foi encontrado pelo pessoal do Departamento de Estado usando o serviço premium da Microsoft – levando a um uma série de comentários críticos sobre a questão da extração de madeira.
“Cobrar das pessoas por recursos premium necessários para não serem hackeados é como vender um carro e depois cobrar mais por cintos de segurança e airbags”, disse o senador Ron Wyden, D-Ore., às agências de notícias .
Uma semana depois, a Microsoft anunciou que ofereceria recursos avançados de registro gratuitamente a todos os seus clientes, dentro e fora do governo, a partir de setembro.
A mudança é muito pequena, muito tarde para alguns críticos. “Não deveríamos estar comemorando a decisão da Microsoft – isso não foi um ato de altruísmo”, disse o ex-oficial de segurança cibernética da Casa Branca, Roger Cressy, à Newsweek. Cressey disse que foram necessários dois anos de pressão do governo nos bastidores e um segundo hack desastroso, mas “a Microsoft finalmente viu o que estava escrito na parede e foi forçada a fazer a coisa certa”.
Parabenizar a empresa, acrescentou Cressey, que ocasionalmente presta consultoria para os concorrentes da Microsoft, “é o equivalente em segurança cibernética a um troféu pela participação”.
FONTE: NEWSWEEK