Matéria traduzida e adaptada do inglês, originalmente publicada pela matriz americana do Epoch Times.
O vice-presidente e presidente da Microsoft, Brad Smith, vai depor perante o Congresso americano no próximo mês sobre as supostas “falhas de segurança” da gigante da tecnologia após vários ataques cibernéticos, anunciaram os legisladores em 21 de maio.
O Sr. Smith vai depor perante o Comitê de Segurança Interna da Câmara em 13 de junho, informou o comitê em um comunicado à imprensa.
A audiência também examinará os “desafios encontrados na prevenção de invasões cibernéticas significativas” na Microsoft, anunciaram o presidente do Comitê de Segurança Interna da Câmara, Mark E. Green (R-Tenn.), e o membro da classificação, Bennie G. Thompson (D-Miss.).
Os legisladores também vão analisar como a Microsoft “planeja fortalecer as medidas de segurança” após o relatório do Conselho de Revisão de Segurança Cibernética (CSRB) sobre a invasão cibernética do Microsoft Online Exchange 2023 por “agentes de ameaça” afiliados à China.
A audiência marca a primeira vez que o Sr. Smith comparece perante um comitê do Congresso para discutir uma questão de segurança cibernética desde 2021, quando pelo menos sete agências, incluindo os Departamentos de Defesa, Estado, Segurança Interna, Energia, Tesouro e Comércio foram comprometidas devido a um malware de roubo de informações plantado nas atualizações do software SolarWinds.
Suspeita-se que um grupo de hackers com base na Rússia esteja por trás desse incidente, amplamente conhecido como o hack da SolarWinds.
A audiência de junho também ocorre cerca de um ano depois que um grupo de hackers ligado ao regime comunista chinês, chamado Storm-0558, foi implicado na violação de milhares de e-mails de altos funcionários dos EUA, incluindo os de várias agências governamentais dos EUA.
Aproximadamente 60,000 e-mails foram roubados somente do Departamento de Estado durante esse ataque, que ocorreu poucas semanas antes da visita de alto nível do Secretário de Estado Antony Blinken a Pequim.
“Erros evitáveis”
De acordo com a Microsoft, o grupo de hackers conseguiu acessar os e-mails depois de obter uma chave de criptografia privada, conhecida como chave MSA, e a usou para forjar tokens de acesso para o Outlook Web Access (OWA) e o Outlook.com antes que a Microsoft resolvesse o problema.
Na época, a gigante da tecnologia disse que havia implantado “medidas profundas para fortalecer todos os sistemas envolvidos” no ataque cibernético e bloqueou o hack com sucesso.
No entanto, um conselho consultivo do governo estabelecido pelo presidente Joe Biden declarou em um relatório, publicado no início deste ano, que a invasão ocorreu devido à “cascata de erros evitáveis da Microsoft” e que a empresa não conseguiu “detectar o comprometimento de suas joias da coroa criptográfica por conta própria, confiando, em vez disso, em um cliente para entrar em contato e identificar anomalias que o cliente havia observado”.
“O conselho considera que a Microsoft não priorizou suficientemente a rearquitetura de sua infraestrutura legada para lidar com o atual cenário de ameaças”, diz o relatório.
“Integridade dos dados governamentais”
Os representantes. Green e Thompson disseram estar satisfeitos com a presença de Smith no comitê para compartilhar informações sobre como a Microsoft está respondendo às “graves ameaças à segurança interna”.
“Dado o incidente com o Microsoft Exchange Online e outros grandes ataques cibernéticos recentes sofridos pela empresa, o Comitê também está profundamente preocupado com a integridade contínua dos dados, redes e informações do governo dos EUA – especialmente considerando a função da Microsoft como um fornecedor confiável e fornecedor dominante de tecnologia da informação para o governo federal”, disseram eles.
“Esperamos ansiosamente pelo depoimento do Sr. Smith e prevemos uma discussão produtiva que avance nosso objetivo comum de fortalecer as práticas de segurança cibernética para a nuvem e abordar quaisquer vulnerabilidades na cultura de segurança da empresa”, continuaram. “Isso inclui a criação de confiança sobre o caminho a seguir para aprimorar a defesa cibernética coletiva das redes civis federais e do setor privado, à medida que aumentam as ameaças de atores nefastos do estado-nação e de criminosos cibernéticos oportunistas.”
“Esperamos que a Microsoft desempenhe um papel de liderança no cumprimento dessa missão”, acrescentaram os legisladores.
A audiência de junho é intitulada “A Cascade of Security Failures: Assessing Microsoft Corporation’s Cybersecurity Shortfalls and the Implications for Homeland Security”, e será transmitida ao vivo pelo YouTube, de acordo com os deputados Green e Thompson.
