Ex-funcionário denuncia que a Microsoft priorizou lucro em vez de segurança

 (propublica.org)
1 pontos por GN⁺ 2024-06-14 | 1 comentários | Compartilhar no WhatsApp

Ex-funcionário denuncia que a Microsoft escolheu o lucro em vez da segurança, deixando o governo dos EUA vulnerável a hackers russos

Alertas de um ex-funcionário foram ignorados

  • Ponto principal: Andrew Harris, ex-funcionário da Microsoft, afirma que a empresa ignorou uma falha de segurança crítica. Essa falha teria sido usada por hackers russos para invadir várias instituições, incluindo a Administração Nacional de Segurança Nuclear (NNSA) dos EUA.
  • Descoberta de Harris: Harris encontrou uma falha grave em um aplicativo usado nos serviços de nuvem da Microsoft para permitir que usuários façam login em programas baseados em nuvem. A falha permitia que hackers se passassem por funcionários legítimos e roubassem dados importantes.
  • Resposta da empresa: Harris disse ter alertado colegas sobre a falha, mas a empresa a ignorou por receio de perder contratos com o governo. A Microsoft teria afirmado que prepararia uma solução de longo prazo, mas, até lá, os serviços em nuvem continuaram vulneráveis.

O caso do hack da SolarWinds

  • Ocorrência do ataque: Depois que Harris deixou a empresa, hackers russos roubaram dados sensíveis de várias agências federais por meio do caso SolarWinds. O incidente é considerado um dos maiores ciberataques da história dos EUA.
  • Método usado: Os hackers teriam explorado a falha descoberta por Harris para roubar dados de diversas agências federais, em uma operação descrita como espionagem voltada à coleta de inteligência de longo prazo.

Resposta da Microsoft

  • Posição oficial: A Microsoft afirma que a proteção dos clientes é sua maior prioridade e que analisa rigorosamente todos os problemas de segurança. Harris, porém, critica a empresa por ter colocado o lucro acima dos clientes.
  • Cultura de segurança: A Microsoft também foi alvo de críticas por uma suposta falta de cultura de segurança, com relatos de que internamente o lucro era tratado como prioridade maior do que a segurança.

Opinião do GN⁺

  • Equilíbrio entre segurança e lucro: Quando uma empresa prioriza o lucro em vez da segurança, pode perder a confiança dos clientes no longo prazo. Isso pode acabar prejudicando tanto sua reputação quanto sua receita.
  • Relação com o governo: Ignorar problemas de segurança para manter contratos com o governo pode gerar ganhos no curto prazo, mas também pode se tornar uma séria ameaça à segurança nacional no longo prazo.
  • Necessidade de melhorar a cultura de segurança: Grandes empresas como a Microsoft precisam fortalecer sua cultura de segurança e criar sistemas para corrigir vulnerabilidades com rapidez. Isso é essencial para manter a confiança dos clientes e garantir sucesso duradouro.
  • Produtos concorrentes: Há também produtos concorrentes, como a Okta, que colocam maior foco em segurança. As empresas devem considerar diferentes opções ao escolher a solução de segurança mais adequada.
  • Pontos a considerar na adoção de tecnologia: Ao adotar novas tecnologias, é importante revisar cuidadosamente as questões de segurança e identificar vulnerabilidades potenciais com antecedência para preparar contramedidas. Isso é fundamental para prevenir ciberataques como invasões hackers.

Leituras relacionadas

1 comentários

 
GN⁺ 2024-06-14
Opiniões do Hacker News

  • Modelo Zero Trust: é importante tratar a rede interna da organização como se fosse externa e não depositar confiança total nela. O Google implementou isso com o BeyondCorp para evitar comprometimentos internos.

  • Desalinhamento entre segurança e lucro: o conflito entre segurança e lucro é difícil de resolver sem uma mudança cultural. No momento, não está claro o que poderia desencadear isso.

  • A realidade da cibersegurança: o setor de cibersegurança tende a focar mais em conformidade do que em segurança real. Os padrões de conformidade são insuficientes ou não são aplicados adequadamente.

  • Relação entre governo e empresas: empresas que vendem produtos ao governo podem ganhar muito dinheiro e, para isso, às vezes escondem aspectos negativos. Isso leva à corrosão da ética básica e da honestidade.

  • Incentivos de segurança: faltam incentivos para segurança. Equipes de vendas são recompensadas pelo desempenho, mas profissionais de segurança podem ser demitidos quando não há resultados visíveis. Isso prejudica a cultura de segurança.

  • Segurança em primeiro lugar: a fala da diretoria de “colocar a segurança em primeiro lugar” não tem importância por si só. Se a cultura de segurança não for recompensada, os funcionários acabam se otimizando para outras prioridades.

  • A abordagem de segurança da Microsoft: o CEO da Microsoft, Satya Nadella, diz que prioriza a segurança, mas na prática a empresa estaria mais focada em publicidade e no registro da atividade dos usuários.

  • Uso de smart cards pelo governo: o governo dos EUA tenta reforçar a segurança usando autenticação com smart card. Porém, se o Seamless SSO for desativado, os usuários passam a ter dificuldade para acessar a nuvem.

  • Lucro acima de tudo: a maioria das empresas prioriza o lucro acima da segurança. Isso não é um problema exclusivo da Microsoft.

  • Ataque Golden SAML: Golden SAML não é uma vulnerabilidade, mas um tipo de ataque. Se a infraestrutura de SSO for comprometida, tudo fica em risco.

  • Explicação por analogia: usa-se a analogia de uma empresa de construção de pontes que ignora falhas estruturais e vê a ponte desabar para explicar que algo semelhante acontece no setor de TI.

  • Necessidade de regulação legal: é necessária regulação legal para segurança de rede. Cresce a percepção de que a tecnologia não consegue se autorregular. Se o governo dos EUA deixar de confiar na nuvem da Microsoft, não haverá muitas alternativas disponíveis.