O secreto database de vulnerabilidades da Microsoft, contendo vulnerabilidades zero day (aquelas ainda desconhecidas do público) foi roubado pelo grupo de espionagem que invadiu a empresa em 2013. A revelação foi feita por cinco ex-funcionários em entrevista à agência de notícias Reuters publicada hoje. Esse banco de dados é sigiloso, já que armazena inclusive fragilidades não corrigidas de sistemas não-Microsoft, e sua existência fora da empresa foi um risco para a segurança de todas as plataformas de computação, principalmente o Windows. Esse fato, na época, não foi divulgado pela empresa. Ela apenas admitiu ter havido um incidente de segurança. O banco de dados tem os detalhes das vulnerabilidades e por isso é um tesouro tanto para agências de espionagem do mundo inteiro quanto para hackers interessados em roubá-las para invasões eletrônicas.
Monitoramento
Os funcionários contaram que em alguns meses a Microsoft corrigiu as falhas existentes. Daí em diante, disseram, ela passou a monitorar as invasões noticiadas, para verificar se haviam sido feitas por meio das vulnerabilidades do banco de dados. Outra das providências da empresa foi colocar o banco de dados fora do alcance da Internet. Os funcionários disseram que o ataque à companhia foi feito por um grupo altamente sofisticado, mas não chegaram a afirmar que ele pertence a um estado-nação.
Em 2013 a invasão foi atribuída a um grupo que os pesquisadores de segurança identificam com os nomes de Morpho, Butterfly e Wild Neutron. Além da Microsoft, na mesma época ele invadiu as redes da Apple, do Facebook e do Twitter. Segundo relatório da empresa de segurança Kaspersky Lab, o grupo é especializado em espionagem corporativa e está em atividade pelo menos desde 2011.
Outra grande invasão desse tipo foi feita contra a Mozilla Foundation, que desenvolve o navegador Firefox e várias outras aplicações de código aberto: em 2015, ela informou num comunicado que um invasor havia tido acesso ao seu banco de dados, onde havia a descrição de dez falhas não corrigidas. Uma delas, segundo a Mozilla, foi utilizada depois em um ataque contra usuários do Firefox.