Um conselho de revisão criado pelo presidente Joe Biden está culpando a cultura da Microsoft por uma invasão que comprometeu os e-mails de mais de 500 pessoas, incluindo o secretário de comércio.
Hackers radicados na China conseguiram roubar os dados devido à “cascata de erros evitáveis da Microsoft”, disse o Cyber Safety Review Board, que foi criado e nomeado pelo presidente Biden em 2021, em um novo relatório.
“O conselho considera que a Microsoft não priorizou suficientemente a re-arquitetura de sua infraestrutura legada para lidar com o atual cenário de ameaças”, diz o relatório.
O relatório é o ponto culminante de uma investigação sobre uma grande invasão no ano passado, em que supostos hackers radicados na China roubaram dezenas de milhares de e-mails de centenas de contas importantes nos EUA e em outros governos.
Entre as contas de e-mail violadas estavam as da Secretária de Comércio Gina Raimondo, do Embaixador dos EUA na China Nicholas Burns, do Secretário Assistente de Estado Daniel Kritenbrink e do Deputado Don Bacon (R-Neb.).
O hack foi atribuído pela Microsoft ao Storm-0558, que a Microsoft descreveu como um “agente de ameaças radicado na China, com objetivos de espionagem”.
Alguns 60.000 e-mails foram roubados somente do Departamento de Estado, e os hackers também acessaram os itinerários de viagem dos funcionários e capturaram uma lista de todos os endereços de e-mail do Departamento de Estado antes de uma visita a Pequim do Secretário de Estado Antony Blinken.
O relatório destaca como a Microsoft inicialmente acreditava que a invasão havia sido feita com chaves de criptografia roubadas, retiradas de um dispositivo roubado ou de uma conta comprometida.
No entanto, descobriu-se muito mais tarde que o Storm-0558 havia forjado seu próprio token de segurança a partir de uma credencial de assinatura roubada para acessar os sistemas de nuvem da Microsoft já em 2016.
“Até a data deste relatório, a Microsoft não sabe como ou quando o Storm-0558 obteve a chave de assinatura”, diz o relatório.
O relatório também condena a liderança da Microsoft por atrasar a aposentadoria das chaves de autenticação em 2021, o que teria tornado inúteis as chaves de acesso forjadas.
Tanto a Microsoft quanto a diretoria informaram que a operação de hacking fazia parte de um plano muito mais amplo apoiado pelo Estado da China comunista.
A Microsoft avaliou a violação como parte de “uma operação de coleta de informações direcionada para atender às necessidades de inteligência [da China]”.
“A diretoria acredita que o ator também priorizou missões de coleta de alto valor e sensíveis ao tempo”, diz o relatório.
Para isso, a Microsoft acredita que o Storm-0558 limitou o escopo dessa intrusão específica para limitar a possibilidade de detecção, mas poderia ter apreendido muito mais.
No final, a Microsoft invalidou a chave roubada que o agente da ameaça estava usando e, nesse momento, o Storm-0558 pareceu perder o acesso às contas violadas, conforme evidenciado pelas tentativas imediatas de phishing para recuperar o acesso.
A diretoria considerou a cultura da Microsoft “inadequada” para garantir uma segurança profunda.
“O conselho também conclui que a cultura de segurança da Microsoft era inadequada e exige uma revisão, especialmente à luz da centralidade da empresa no ecossistema tecnológico e do nível de confiança que os clientes depositam na empresa para proteger seus dados e operações”, diz o relatório.
“[A posição da Microsoft] exige uma cultura corporativa de responsabilidade focada na segurança, que começa com o CEO, para garantir que fatores financeiros ou outros fatores de entrada no mercado não prejudiquem a segurança cibernética e a proteção dos clientes da Microsoft.”