Em artigo de opinião, Amit Yoran comenta o relatório do governos dos EUA sobre a Microsoft ser a responsável por mais de um terço das vulnerabilidades mais comumente exploradas pelos cibercriminosos. O que mais a empresa esconde?
Na semana passada, o senador Ron Wyden enviou uma carta à Agência de Segurança Cibernética e Infraestrutura (CISA), ao Departamento de Justiça e à Comissão Federal de Comércio (FTC) pedindo que responsabilizem a Microsoft por um padrão repetido de práticas negligentes de segurança cibernética, que permitiu espionagem chinesa contra o governo dos Estados Unidos.
De acordo com dados do Google Project Zero, os produtos da Microsoft representaram um total de 42,5% de todos os dias zero descobertos desde 2014.
A falta de transparência da Microsoft se aplica a brechas, práticas de segurança irresponsáveis e vulnerabilidades, todas as quais expõem seus clientes a riscos que são deliberadamente ocultados por eles.
Em março de 2023, um membro da equipe de pesquisa da Tenable estava investigando a plataforma Azure da Microsoft e serviços relacionados. O pesquisador descobriu uma falha (detalhada neste link) que permitia a um invasor não autenticado acessar aplicações cross-tenant e dados confidenciais, como segredos de autenticação.
Para se ter uma ideia da gravidade do problema, nossa equipe descobriu rapidamente segredos de autenticação de um banco. Eles estavam tão preocupados com a seriedade e a ética do problema que notificaram a Microsoft imediatamente.
A Microsoft corrigiu rapidamente o problema que poderia efetivamente levar à violação de redes e serviços de vários clientes? Claro que não. Foram necessários mais de 90 dias para implementar uma correção parcial, e apenas para novas aplicações carregadas no serviço.
Isso significa que, a partir de hoje, o banco a que me referi anteriormente ainda está vulnerável, mais de 120 dias desde que relatamos o problema, assim como todas as outras organizações que implementaram o serviço antes da correção.
E, até onde sabemos, eles ainda não têm ideia de que estão em risco e, portanto, não podem tomar uma decisão informada sobre controles de compensação e outras ações de mitigação de risco. A Microsoft alega que corrigirá o problema até o final de setembro, quatro meses após nossa notificação.
Isso é extremamente irresponsável, para não dizer extremamente negligente. Nós conhecemos o problema, a Microsoft conhece o problema e esperemos que os criminosos cibernéticos não conheçam o problema.
Os provedores de nuvem há muito adotam o modelo de responsabilidade compartilhada. Esse modelo é irremediavelmente quebrado se o seu fornecedor de nuvem não o notificar sobre os problemas à medida que eles surgirem e aplicar as correções abertamente.
O que se ouve da Microsoft é “confie em nós”, mas o que se tem é muito pouca transparência e uma cultura de ofuscação tóxica. Como um CISO, um conselho ou uma equipe executiva pode acreditar que a Microsoft fará a coisa certa, considerando os padrões de fatos e comportamentos atuais? O histórico da Microsoft coloca todos nós em risco. E é ainda pior do que pensávamos.
FONTE: EXAME