O portal americano ProPublica publicou uma reportagem com declarações de Andrew Harris, ex-funcionário da Microsoft, de que a empresa priorizou o lucro em vez da segurança, deixando o governo dos EUA vulnerável ao ataque ocorrido por meio de atualizações de software da SolarWinds, em 2020.
Veja isso
SolarWinds corrige bugs críticos em solução de direito de acesso
SolarWinds quer rejeição de ação da SEC dizendo ser infundada
Harris diz que descobriu uma falha grave nos serviços federados do Active Directory (AD FS) da Microsoft, o que permitiu que invasores falsificassem tokens SAML (Security Assertion Markup Language). O ator de ameaça patrocinado pelo Estado russo que estava por trás do ataque à SolarWinds explorou a falha descoberta por Harris para violar várias agências federais dos EUA, incluindo a Administração Nacional de Segurança Nuclear e os Institutos Nacionais de Saúde.
Harris diz que durante anos pediu à Microsoft que aplicasse uma solução temporária desativando o logon único (SSO), mas a empresa recusou, a fim de buscar uma alternativa de longo prazo. O ProPublica afirma que, na época, “o governo federal estava se preparando para fazer um investimento maciço em computação em nuvem, e a Microsoft queria o negócio”. Segundo Harris, os colegas diziam que as consequências financeiras poderiam ser enormes – a Microsoft poderia não só perder um negócio multibilionário, mas também poderia a corrida para dominar o mercado de computação em nuvem.