Esses incidentes ocorreram como especialistas em segurança eram criticando cada vez mais Microsoft para não conseguindo prontamente e consertar adequadamente falhas em seus produtos. Sendo de longe o maior fornecedor de tecnologia para o governo dos EUA, as vulnerabilidades da Microsoft são responsáveis por a parte do leão de ambos recém-descoberto e mais amplamente usado falhas de software. Muitos especialistas dizem que a Microsoft se recusa a fazer as melhorias necessárias na segurança cibernética para acompanhar os desafios em evolução.
A Microsoft não “adaptou o seu nível de investimento em segurança e a sua mentalidade para se adaptar à ameaça”, afirma um proeminente especialista em políticas cibernéticas. “É uma grande merda cometida por alguém que tem os recursos e a capacidade interna de engenharia que a Microsoft tem.”
O CSRB do Departamento de Segurança Interna endossou esta visão em seu novo relatório sobre a intrusão chinesa em 2023, dizendo que a Microsoft exibiu “uma cultura corporativa que despriorizou tanto os investimentos em segurança empresarial quanto o gerenciamento rigoroso de riscos”. O relatório também criticou a Microsoft por publicar informações imprecisas sobre o Causas Possíveis da última intrusão chinesa.
As recentes violações revelam a falha da Microsoft em implementar defesas básicas de segurança, de acordo com vários especialistas.
Adam Meyers, vice-presidente sênior de inteligência da empresa de segurança CrowdStrike, aponta para a capacidade dos russos de saltar de um ambiente de testes para um ambiente de produção. “Isso nunca deveria acontecer”, diz ele. Outro especialista cibernético que trabalha num concorrente da Microsoft destacou a capacidade da China de espionar as comunicações de múltiplas agências através de uma única intrusão, ecoando o relatório CSRB, que criticou o sistema de autenticação da Microsoft por permitir amplo acesso com uma única chave de login.
“Você não ouve falar desses tipos de violações vindos de outros provedores de serviços de nuvem”, diz Meyers.
De acordo com o relatório do CSRB, a Microsoft “não priorizou suficientemente a rearquitetura de sua infraestrutura legada para enfrentar o atual cenário de ameaças”.
Em resposta a perguntas escritas, a Microsoft disse à WIRED que está melhorando agressivamente sua segurança para lidar com incidentes recentes.
“Estamos empenhados em nos adaptar ao cenário de ameaças em evolução e em estabelecer parcerias entre a indústria e o governo para nos defendermos contra essas ameaças globais crescentes e sofisticadas”, afirma Steve Faehl, diretor de tecnologia do negócio de segurança federal da Microsoft.
Como parte de sua iniciativa Secure Future lançada em novembro, diz Faehl, a Microsoft melhorou sua capacidade de detectar e bloquear automaticamente abusos de contas de funcionários, começou a procurar mais tipos de informações confidenciais no tráfego de rede, reduziu o acesso concedido por chaves de autenticação individuais, e criou novos requisitos de autorização para funcionários que desejam criar contas corporativas.
A Microsoft também redistribuiu “milhares de engenheiros” para melhorar seus produtos e começou a reunir executivos seniores para atualizações de status pelo menos duas vezes por semana, diz Faehl.
A nova iniciativa representa o “roteiro e os compromissos da Microsoft para responder a grande parte do que o relatório do CSRB chama de prioridades”, diz Faehl. Ainda assim, a Microsoft não aceita que a sua cultura de segurança esteja quebrada, como argumenta o relatório do CSRB. “Discordamos veementemente desta caracterização”, diz Faehl, “embora concordemos que não temos sido perfeitos e temos trabalho a fazer”.
Um ‘vício’ em receita de segurança
A Microsoft ganhou inimizade especial da comunidade de segurança cibernética por cobrando extra de seus clientes para melhores proteções de segurança, como monitoramento de ameaças, antivírus e gerenciamento de acesso de usuários. Em janeiro de 2023, a empresa elogiou que a sua divisão de segurança ultrapassou os 20 mil milhões de dólares em receitas anuais.
“A Microsoft passou a encarar a segurança cibernética como algo que visa gerar receita para eles”, diz Juan Andrés Guerrero-Saade, vice-presidente associado de pesquisa da empresa de segurança SentinelOne. Seu colega Alex Stamos escreveu recentemente que o “vício” da Microsoft em esta receita “distorceu seriamente suas decisões de design de produtos”.
