Microsoft é acusada de ‘desrespeito flagrante’ à segurança cibernética

O CEO da Tenable, Amit Yoran, divulgou um incidente que ilustra que a atitude da Microsoft em relação à segurança cibernética é “pior do que você pensa” – a empresa negligencia questões de proteção de dados e atrasa desnecessariamente a correção de seus próprios erros.

O último grande incidente de segurança cibernética da Microsoft ocorreu em 12 de julho, quando o grupo de hackers chinês Storm-0558 invadiu a plataforma de nuvem Azure – o ataque afetou cerca de 25 organizações e levou ao roubo de correspondência confidencial de funcionários do governo dos EUA. Segundo o especialista, a Microsoft demonstra sistematicamente um descaso com a questão da proteção de dados: a Tenable conseguiu encontrar outra vulnerabilidade na infraestrutura do Azure, e a gigante do software demorou demais para consertá-la.

O bug foi descoberto em março – deu aos invasores em potencial acesso a dados confidenciais, incluindo os recursos de um dos bancos. A Tenable notificou a Microsoft sobre a vulnerabilidade, mas esta levou “mais de 90 dias para implantar uma correção parcial”, que, no entanto, se aplica apenas a “novos aplicativos carregados pelo serviço”. As organizações afetadas, incluindo o mesmo banco “que lançou o serviço antes do lançamento do patch”, ainda estão expostas à vulnerabilidade e provavelmente desconhecem o risco.

A Microsoft planeja finalmente resolver o problema até o final de setembro, que o especialista caracteriza como “extrema irresponsabilidade, senão negligência flagrante”. Além disso, de acordo com o Google Project Zero, 42,5% de todas as vulnerabilidades de dia zero descobertas desde 2014 foram em produtos da Microsoft. Wiz relatou recentemente que um hack do Azure poderia ter consequências mais sérias do que se pensava originalmente, mas a Microsoft rejeitou suas descobertas.

Enquanto isso, o diretor sênior da Microsoft, Jeff Jones, reagiu às críticas de Goran. “Valorizamos o trabalho com a comunidade de segurança [cibernética] para divulgar com responsabilidade os problemas do produto. Seguimos um processo extenso que inclui investigação completa, desenvolvimento de atualizações para todas as versões dos produtos afetados e testes de compatibilidade com outros sistemas operacionais e aplicativos. Em última análise, o desenvolvimento de uma atualização de segurança é um equilíbrio delicado entre pontualidade e qualidade com máxima proteção ao cliente e mínima interrupção para eles ”, The Verge cita uma declaração de um gerente sênior.