Em uma carta aberta publicada pelo senador Ron Wyden, democrata que representa o estado do Oregon, nos EUA, disse que a Microsoft deveria ser considerada “responsável por suas práticas negligentes de segurança cibernética, que permitiram uma campanha de espionagem chinesa bem-sucedida contra o governo dos EUA”.
A carta, datada de 27 de julho, foi endereçada a Jen Easterly, diretora da Agência de Segurança Cibernética e Infraestrutura (CISA), a Lina Khan, presidente da FTC (Comissão Federal de Comércio) e a Merrick B. Garland, procurador-geral do Departamento de Justiça dos EUA. .
A carta se refere à descoberta de uma campanha de hacking que levou à exfiltração de dados do Exchange Online e do Outlook. Em 12 de julho, a CISA e o FBI emitiram comunicado conjunto para fornecer orientação às organizações de infraestrutura crítica do país sobre como aprimorar o monitoramento de ambientes do Microsoft Exchange Online após a descoberta.
Pouco depois, a Microsoft publicou a investigação dela sobre atividades maliciosas de e-mail, que descobriu que o grupo chinês de ameaças Storm-0558 obteve acesso a contas de e-mail de clientes a partir de 15 de maio, incluindo agências governamentais dos EUA. O Storm-0558 é conhecido por ter como alvo agências governamentais na Europa e se concentra em espionagem, roubo de dados e acesso a credenciais.
A Microsoft explicou que os operadores da ameaça conseguiram acessar as contas de e-mail dos clientes por meio do Outlook Web Access no Exchange Online (OWA) e do Outlook.com forjando tokens de autenticação usando uma chave de criptografia adquirida da Microsoft.
A empresa afirmou que mitigou o problema bloqueando o uso de tokens assinados com a chave MSA adquirida no OWA, substituindo a chave para impedir que os hackers a usem para forjar mais tokens e bloqueando o uso de tokens emitidos com a chave para todos os clientes consumidores impactados.
O senador Wyden escreveu na carta que “os e-mails do governo foram roubados porque a Microsoft cometeu outro erro”. “Embora a chave de criptografia roubada fosse para contas de consumidores, “um erro de validação no código da Microsoft” permitiu que os hackers também criassem tokens falsos para contas hospedadas pela Microsoft de agências governamentais e outras organizações e, assim, acessassem essas contas”, disse ele.
Veja isso
Hack à M365 expôs mais do que e-mails do Exchange e Outlook
Ransomware Cuba hackeia servidores Exchange
Wyden argumentou que a Microsoft não deveria ter “uma única chave mestra” que permite aos invasores acessar as comunicações privadas dos clientes em caso de roubo. Ele também levantou questões sobre como a chave de criptografia foi armazenada.
O senador acrescentou que a Microsoft não assumiu a responsabilidade por seu papel no incidente da cadeia de suprimentos da SolarWinds em 2020, no qual invasores patrocinados pelo governo russo roubaram chaves de criptografia e falsificaram credenciais da Microsoft para obter acesso a informações confidenciais.
Como resultado, Wyden pediu um esforço de “todo o governo” para responsabilizar a Microsoft por sua “negligência”. E pediu a cada uma das agências que examinasse as práticas de segurança e privacidade da fabricante de software e verificasse se elas violavam a lei federal.Em 26 de julho, foi relatado que o Centro de Monitoramento de Terremotos de Wuhan, na China, foi atingido por um incidente cibernético perpetrado por um grupo de hackers com “histórico de ligação com governo estrangeiro”. Com agências de notícias internacionais.