SolarWinds Hack: Revendedor Microsoft rouba e-mail e outros dados de clientes do Azure

O ataque bem coordenado à infraestrutura da SolarWinds, sobre o qual escrevemos em detalhes, levou à invasão de clientes em nuvem da Microsoft e ao roubo de e-mails de pelo menos uma empresa privada, de acordo com informantes do Washington Post. A violação afetou várias agências governamentais dos Estados Unidos e redes de computadores corporativas.

Gerard Julien / AFP / Getty Images

Segundo denunciantes, a invasão parece ter ocorrido por meio de um parceiro corporativo da Microsoft, que atua na revenda de serviços de acesso à nuvem. A Microsoft não comentou publicamente sobre isso. Na quinta-feira, um executivo sênior da gigante de tecnologia tentou minimizar a gravidade do problema. “Nossa investigação sobre ataques recentes identificou incidentes de abuso de credenciais que podem assumir várias formas”, disse Jeff Jones, diretor sênior de comunicações da Microsoft. “Ainda não identificamos nenhuma vulnerabilidade ou comprometimento dos produtos ou serviços em nuvem da Microsoft.”

Mas outro dia, de acordo com uma postagem de blog da empresa de segurança cibernética CrowdStrike, a Microsoft os notificou sobre um problema com seu revendedor de licenciamento de cliente Azure. Em uma postagem, o CrowdStrike alertou os clientes de que a Microsoft detectou um comportamento incomum na conta do Azure CrowdStrike e que houve uma tentativa fracassada de ler o e-mail. Os denunciantes disseram que o ataque não explorou nenhuma vulnerabilidade da Microsoft. A própria gigante do software não foi hackeada – apenas um de seus parceiros.

Jornal de Wall Street

No entanto, os especialistas em segurança da informação consideram a situação extremamente preocupante. “Se for verdade que os dados do cliente de um provedor de nuvem foram roubados e estão nas mãos de um invasor, esta é uma situação muito séria”, disse John Reed Stark, diretor-gerente de uma empresa de consultoria e ex-chefe da Securities and Exchange Commission. … “Isso deve gerar muitos alarmes no provedor de nuvem e pode levar a uma série de requisitos de notificação, correção e divulgação, tanto nacional quanto internacionalmente.”

A Microsoft disse em um blog na semana passada que notificou mais de 40 clientes que eles foram hackeados. Alguns deles foram hackeados por terceiros. Se um invasor compromete o revendedor e rouba credenciais, ele pode usá-las para obter acesso generalizado às contas do Azure. Uma vez dentro da conta de um cliente específico, um invasor tem a capacidade de ler e roubar e-mails e outras informações. Dois informantes do Washington Post argumentam que a Microsoft não avisou imediatamente o governo sobre o problema do hack do revendedor.

Cadeia de clientes da SolarWinds atacada (dados da Microsoft)

Um porta-voz da Microsoft em uma entrevista com repórteres descreveu o problema com o revendedor como uma variação do hack anterior, e não como uma situação fundamentalmente nova. No entanto, ele se recusou a responder a perguntas sobre quando a empresa descobriu o problema com o revendedor, quantos clientes este tinha, quantos deles foram hackeados e se o revendedor havia avisado seus clientes. “Temos vários acordos com pessoas e não vamos compartilhar informações detalhadas sobre nossas interações com parceiros ou clientes específicos”, disse ele.

Hackear o parceiro da Microsoft não isenta a gigante do software de responsabilidade legal, dizem os especialistas. Quando os hackers roubaram os dados de mais de 100 milhões de titulares de cartão de crédito da nuvem de um grande banco que usou o Amazon Web Services no ano passado, os clientes processaram tanto o banco quanto a AWS. Em setembro, um juiz federal rejeitou a petição da Amazon para removê-la da lista de réus porque o “comportamento negligente” do provedor de nuvem supostamente tornou o ataque possível.

Vítimas hackeadas por setor (Microsoft Data)

Fontes do governo dos EUA e do setor privado relatam que o número total de vítimas do hack da SolarWinds – agências e empresas cujos dados foram roubados – provavelmente não passará de algumas centenas, não milhares, como se pensava anteriormente. Mas mesmo um hack de uma grande agência pode ter consequências enormes.