Microsoft Enfrenta Críticas Severas por Segurança “Gravemente Irresponsável”
Azure parece um castelo de cartas desabando sob o peso de explorações e vulnerabilidades.
A Microsoft enfrenta, mais uma vez, críticas severas por suas práticas de segurança no Azure e em outras ofertas de nuvem. Amit Yoran, presidente e CEO da empresa de segurança Tenable, classificou a Microsoft como “gravemente irresponsável” e presa em uma “cultura de obscurantismo tóxico”.
Críticas intensas à segurança da Microsoft
Os comentários de Yoran surgem seis dias após o Senador Ron Wyden (D-Ore.) criticar a Microsoft por suas “práticas negligentes de cibersegurança”. Segundo ele, essas falhas permitiram que hackers apoiados pelo governo chinês roubassem centenas de milhares de e-mails de clientes na nuvem, incluindo funcionários dos Departamentos de Estado e Comércio dos EUA. A Microsoft ainda não forneceu detalhes cruciais sobre a violação misteriosa, que envolveu os hackers obtendo uma chave de criptografia extremamente poderosa que dá acesso a vários de seus outros serviços na nuvem. Desde então, a empresa tem feito esforços para obscurecer o papel de sua infraestrutura na violação em massa.
A falta de uma solução completa
Na quarta-feira, Yoran usou o LinkedIn para criticar a Microsoft por não corrigir o que a empresa afirmou na segunda-feira ser um problema “crítico” que permite aos hackers acesso não autorizado a dados e aplicativos gerenciados pelo Azure AD, uma oferta de nuvem da Microsoft para gerenciar autenticação de usuário em grandes organizações. A divulgação de segunda-feira disse que a empresa notificou a Microsoft do problema em março e que a Microsoft informou 16 semanas depois que havia sido corrigido. Pesquisadores da Tenable disseram à Microsoft que a correção estava incompleta. A Microsoft marcou a data para fornecer uma correção completa para 28 de setembro.
“Para dar uma ideia de quão ruim isso é, nossa equipe descobriu muito rapidamente segredos de autenticação de um banco”, escreveu Yoran. “Eles estavam tão preocupados com a gravidade e a ética do problema que imediatamente notificamos a Microsoft.”
Um representante da Microsoft disse que a empresa não tinha um comentário imediato em resposta ao post de Yoran. Respondendo à carta de Wyden na semana passada, a Microsoft rejeitou as críticas, dizendo: “Este incidente demonstra os desafios em evolução da cibersegurança diante de ataques sofisticados. Continuamos a trabalhar diretamente com as agências governamentais sobre este assunto e mantemos nosso compromisso de continuar compartilhando informações no blog Microsoft Threat Intelligence”.
As implicações
A Tenable está discutindo o problema apenas em termos gerais para evitar que hackers mal-intencionados aprendam como explorá-lo ativamente no campo. Em um e-mail, representantes da empresa disseram: “Há uma vulnerabilidade que fornece acesso ao tecido do Azure, pelo menos. Uma vez que os detalhes dessa vulnerabilidade sejam conhecidos, a exploração é relativamente trivial. É por esse motivo que estamos retendo todos os detalhes técnicos”. Embora o post de Yoran e a divulgação da Tenable evitem a palavra vulnerabilidade, o e-mail disse que o termo é preciso.
As críticas à segurança da Microsoft destacam a necessidade urgente de uma abordagem mais proativa e transparente para proteger os usuários e seus dados. É fundamental que a Microsoft atenda a essas críticas com ações significativas para reforçar a segurança e garantir a confiança de seus usuários.
Sou entusiasta de Tecnologia, Gamer, Blogueiro e Editor do Portal do Pixel.
