O Conselho de Revisão de Segurança Cibernética (CSRB), liderado pelo Departamento de Segurança Interna dos EUA, conduziu uma investigação de sete meses sobre o incidente que envolveu o grupo de hackers Storm-0558, afiliado à China.

A operação, descoberta pela primeira vez pelo Departamento de Estado dos EUA em junho de 2023, incluiu o acesso a emails oficiais e pessoais da secretária de Estado do Comércio, Gina Raimondo, e do embaixador dos EUA na China, Nicholas Burns.

A Microsoft fornece serviços de cloud (computação remota), como Azure ou Office360, incluindo o armazenamento de dados confidenciais para muitas empresas e governos.

O relatório, divulgado na segunda-feira, critica a cultura corporativa da Microsoft por estar “em desacordo com a posição central da empresa no ecossistema tecnológico e com o nível de confiança que os clientes depositam na empresa”.

Número de ciberataques continua a crescer impulsionado por espionagem. Quase metade visaram Estados membros da NATO
Número de ciberataques continua a crescer impulsionado por espionagem. Quase metade visaram Estados membros da NATO
Ver artigo

“A cloud é uma das infraestruturas mais críticas que temos”, sublinhou o presidente do CSRB, Robert Silvers. “É imperativo que os provedores de serviços em cloud priorizem a segurança e a integrem desde o projeto”, acrescentou.

O estudo destacou uma série de decisões operacionais e estratégicas tomadas pela Microsoft que abriram caminho para o ciberataque, incluindo a falha na identificação do computador portátil comprometido de um novo funcionário.

Também descobriu que a Microsoft não cumpriu os padrões de segurança de empresas concorrentes de cloud, incluindo Google, Amazon e Oracle.

A comissão considera que esta intrusão poderia ter sido evitada e nunca deveria ter ocorrido”, pode ler-se no relatório, que destaca “a cascata de erros evitáveis da Microsoft que permitiram que esta intrusão tivesse sucesso”.

O relatório também recomenda que a Microsoft desenvolva e torne público um plano programado para implementar reformas de segurança abrangentes.

O vice-presidente do CSRB, Dmitri Alperovitch, disse que o Storm-0558 e outros atores semelhantes são uma “ameaça persistente e perniciosa” que têm “a capacidade e a intenção de comprometer sistemas de identidade para aceder a dados confidenciais, incluindo emails de pessoas de interesse do governo chinês”.