A Microsoft se tornou alvo de críticas públicas hoje em dia, depois que alguns incidentes graves de violação de dados atingiram a empresa. O CEO da Tenable, Amit Yoran, agora colocou a Microsoft em destaque sobre suas práticas de segurança cibernética. Ele disse que o histórico de segurança cibernética da empresa é “ainda pior do que você pensa”.
No início de julho, um grupo de hackers chinês chamado Storm-0558 tinha como alvo a plataforma Microsoft Azure. A empresa confirmou posteriormente que os dados de cerca de 25 organizações diferentes foram direcionados. Além disso, os hackers roubaram alguns e-mails confidenciais de funcionários do governo dos EUA. Dadas as atuais tensões entre os Estados Unidos e a China, é mais provável que os maus atores sejam apoiados diretamente pelo governo chinês.
CEO da Tenable diz que a Microsoft está colocando seus clientes em risco
A violação de dados do Azure foi um grande golpe para a reputação da Microsoft, pois entregou alguns dados confidenciais do governo à China. O senador Ron Wyden pediu ao Departamento de Justiça dos EUA que responsabilizasse a Microsoft por suas “práticas negligentes de segurança cibernética”.
O CEO da Tenable chamou a gigante da tecnologia de Redmond por suas práticas de segurança cibernética “grosseiramente irresponsáveis, se não flagrantemente negligentes”. De acordo com Yoran, o “padrão repetido de práticas negligentes de segurança cibernética” da Microsoft permitiu que hackers chineses explorassem dados do Azure e roubassem e-mails confidenciais do governo dos EUA. Ele acrescentou que a Microsoft está “perdendo uma bússola moral” em relação às práticas cibernéticas.
O CEO da Tenable também revelou que sua empresa encontrou mais falhas de segurança cibernética no Azure. Uma dessas falhas era séria e poderia permitir que hackers acessassem dados confidenciais da empresa, incluindo um banco. Yoran afirmou que demorou mais de 90 dias para a Microsoft implementar uma correção parcial, e a correção foi aplicada apenas a novos aplicativos carregados no serviço. Isso significa que os clientes que lançaram o serviço antes da correção estavam em risco.
Mais tarde, a Microsoft lançou uma correção para o problema depois que a postagem de Yoran se tornou pública. No entanto, a empresa de Redmond disse que nenhum malfeitor poderia explorar a falha. “O que você ouve da Microsoft é ‘apenas confie em nós’, mas o que você recebe é muito pouca transparência e uma cultura de ofuscação tóxica”, escreve Yoran.
Violações de dados recentes fizeram o governo dos EUA tomar medidas. De acordo com a última lei aprovada pela Securities and Exchange Commission, toda empresa deve divulgar um incidente de violação de dados dentro de quatro dias após sua descoberta.