Em um cenário preocupante para a segurança nacional dos EUA, a gigante tecnológica Microsoft é acusada de negligência em relação à proteção de infraestruturas críticas do governo americano, incluindo o Pentágono. A relação de longa data entre o governo dos EUA e a Microsoft revelou uma atitude alarmantemente negligente em relação à supervisão de cibersegurança.

Conforme relatado por Daily Wire, engenheiros da Microsoft baseados na China tiveram acesso a partes do software que alimenta infraestruturas militares críticas dos EUA. Esses engenheiros, trabalhando para uma empresa americana sem um contrato federal formal, estavam próximos ao equivalente digital da sala de controle do Pentágono. O mais grave é que a Microsoft supostamente não informou o Pentágono sobre essa situação.

A Microsoft fornece infraestrutura de software essencial para todos os ramos do governo dos EUA, incluindo o militar. Contratar engenheiros de um rival geopolítico conhecido por espionagem industrial, guerra cibernética e sabotagem digital é uma falha grave. Dada a história de exploração de acessos por parte da China, essa situação é extremamente preocupante.

Após a exposição do problema, a Microsoft reagiu. Frank Shaw, chefe de comunicações da Microsoft, declarou: “Em resposta a preocupações levantadas anteriormente esta semana sobre engenheiros estrangeiros supervisionados pelos EUA, a Microsoft fez mudanças em nosso suporte para clientes do governo dos EUA para garantir que nenhuma equipe de engenharia baseada na China esteja fornecendo assistência técnica para a nuvem do governo do DoD e serviços relacionados.

PUBLICIDADE

O senador Tom Cotton (R-AR) dos EUA está agora fazendo perguntas diretas e justificadas. Por que este programa não foi divulgado? Por que nacionais chineses foram permitidos a trabalhar em produtos usados pelo Departamento de Defesa dos EUA? E quem, exatamente, na Microsoft achou que isso era uma boa ideia?

O problema não é apenas a aparente cegueira da Microsoft em relação à segurança nacional. A questão mais profunda é a falta de cuidado com a proteção de endpoints, a última linha de defesa entre uma rede segura e um comprometimento total. Seja uma agência governamental ou uma empresa privada, confiar em firewalls desatualizados e em uma confiança cega em gigantes tecnológicos é como usar uma porta de tela como armadura.

Nos últimos anos, a Microsoft acumulou um número impressionante de Vulnerabilidades e Exposições Comuns (CVEs). Essas não são falhas menores; são buracos enormes no tecido digital, muitos dos quais podem ser explorados com um único clique. Uma CVE permitiu que hackers acessassem caixas de entrada do Outlook sem que o usuário precisasse abrir um e-mail. Apenas recebê-lo era suficiente. Isso não é um e-mail; é uma mina terrestre digital.

PUBLICIDADE

Além disso, o aumento de golpes de suporte técnico, milhares de esquemas de phishing relatados e ataques de malware que se instalam silenciosamente com um único clique errado resultaram em uma crise de higiene cibernética. Criminosos e hackers apoiados por estados perceberam que os americanos são altamente avançados na construção de sistemas, mas perigosamente ingênuos em protegê-los.

Para piorar a situação, a contratação de engenheiros estrangeiros pela Microsoft coincidiu com sua transição para uma infraestrutura “cloud-first”. Isso significa que as mesmas pessoas com lealdades questionáveis estavam potencialmente ajudando a construir e manter sistemas que armazenam terabytes de dados sensíveis do governo dos EUA – fora do local, fora das instalações e fora do radar do monitoramento de defesa tradicional.

Se você fosse um oficial de inteligência chinês sonhando em entrar nos sistemas do Pentágono, preferiria recrutar um espião, criar uma cepa de malware ou simplesmente… ser contratado pela Microsoft? Não se pode culpar a China por tentar. A culpa recai sobre a Microsoft por deixar o cofre aberto e fingir que é um armário de vassouras.