Invasão aos e-mails geridos pela Microsoft deixam empresa em maus lençóis; entenda

Siga o Olhar Digital no Google Discover

Tudo sobre China

ver mais

A Microsoft vem enfrentando nova onda de investigações e acusações de negligência na segurança sobre a invasão cibernética que permitiu à China espiar pessoas importantes da administração Biden, com alguns pesquisadores de segurança afirmando que a brecha pode ser pior do que a suspeita inicial.

Ofertas

Vendido por Amazon

Samsung Smart TV 75" Crystal UHD 4K U8100F 2025

De: R$ 5.299,99
Por: R$ 4.519,90

Vendido por Amazon

Notebook Dell Inspiron I15-I1300-A60P 15.6" Full HD 13ª Gen Intel Core i5 16GB 1TB SSD Win 11 Preto Carbono

Por R$ 3.955,69

Vendido por Amazon

Garmin Relógio Venu 3 Branco 45mm com Monitor Cardíaco de Pulso e GPS

De: R$ 4.699,00
Por: R$ 3.099,00

Vendido por Amazon

eufy Câmera S3 Pro Kit 2+1 por anker, Câmera De Segurança Wi-Fi Externa Sem Fio, 4K, Energia Solar, Visão Noturna MaxColor, Reconhecimento Facial por IA, Compatível com Alexa, Sem taxas mensais

De: R$ 3.499,00
Por: R$ 3.324,00

Vendido por Amazon

eufy HomeBase3, Câmera de segurança, Reconhecimento Facial por IA, Armazenamento Local Expansível até 16TB, Criptografia Avançada, Ecossistema de Segurança eufy, Sem taxas mensais

De: R$ 849,00
Por: R$ 799,00

Vendido por Amazon

Bettdow SmartWatch, Relogio Smartwatch Feminino, 1.27" Ecrã tátil, à prova d'água IP68, 100+ Modos Esportivos, chamada Bluetooth, Compatível com Android iOS, voz por IA (Azul)

De: R$ 299,00
Por: R$ 241,44

Vendido por Amazon

Combo Teclado e Mouse sem fio Logitech POP Icon com Teclas e Botões Personalizáveis, Clique Silencioso, Easy-Switch para até 3 dispositivos e Conexão Bluetooth - Grafite

De: R$ 499,90
Por: R$ 388,78

Vendido por Amazon

eufy Câmera S330 (eufyCam 3) 2-Cam Kit por anker, Câmera De Segurança Wi-Fi Externa Sem Fio, 4K, Painel Solar, Forever Power, Reconhecimento Facial IA, Armazenamento Local Até 16TB, Sem Taxa Mensal

De: R$ 2.399,00
Por: R$ 2.159,00

Vendido por Amazon

soundcore Select 4 Go da Anker, Alto-Falante Bluetooth Portátil, 20H de Bateria, IP67 à Prova d'Água e Poeira, Flutuante, Som Potente, Ideal para Ambientes Internos, Externos e Passeios

De: R$ 339,00
Por: R$ 188,99

Vendido por Amazon

WB Smart Tag Localizador Bluetooth, Rastreador Compatível com o Apple Find My, bateria substituível, Localizador de itens para bolsas

De: R$ 88,00
Por: R$ 45,00

Vendido por Amazon

Anker Nano Carregador Portátil, Power Bank Compacto 10000mAh 45W Máx., Bateria Portátil Essencial para Viagens com Cabo Retrátil InstaCord de 70 cm para iPhone 17/16 Series, iPad, Galaxy, Pixel e Mais

De: R$ 399,00
Por: R$ 379,00

Vendido por Amazon

Capa com Teclado Combo Touch para iPad (10ª geração e A16) Com Teclado Retroiluminado Destacável com Suporte, Trackpad Preciso e Tecnologia Smart Connector - Cinza

De: R$ 1.629,90
Por: R$ 1.239,90

Vendido por Amazon

ULANZI VL-200Bi 200W luz de estúdio bicolor, luz de preenchimento COB, iluminação de saída contínua com controle de APP, 2700K-6500K, 6 cenas, montagem Bowens

De: R$ 1.179,00
Por: R$ 943,20

Vendido por Amazon

eufy Câmera S350, Camera de Segurança Wi-Fi, 4K Inteligente com Câmera Dupla, Visão 360°, Zoom 8×, Visão Noturna, Babá Eletrônica, Rastreamento por IA, Compatível com Alexa e HomeBase 3

De: R$ 999,00
Por: R$ 798,99

Vendido por Amazon

WAAW By ALOK Fone de Ouvido Bluetooth SENSE 310 Com Cancelamento de Ruído e Assistente de Voz, 30h de Bateria

De: R$ 329,90
Por: R$ 199,00

Vendido por Amazon

WAAW by ALOK Caixa de Som US 200SB DUO Bluetooth 2 em 1, Resistente à Água, Acabamento Metálico, TWS, 20W RMS

De: R$ 599,90
Por: R$ 476,10

Vendido por Amazon

Eufy Cam E340 Câmera De Segurança Wi-Fi Dual Band (2.4/5GHz) Exterior, 360° PTZ, Gravação 24/7, 2000 Lúmens, Detecção de Movimento + Sirene Integrada, Câmera Dupla, Sem Taxa Mensal, Branco

De: R$ 1.199,00
Por: R$ 1.139,05

Vendido por Amazon

Novo Kindle Paperwhite Signature Edition (32 GB) - O Kindle mais rápido já lançado, com luz frontal autoadaptável, carregamento sem fio e bateria que dura semanas - Cor Preta Metálica

De: R$ 1.199,00
Por: R$ 949,00

Vendido por Amazon

Combo Teclado e Mouse Sem Fio Logitech MK250 Bluetooth com Conectividade Rápida e Fácil, Design Compacto, Mouse Ambidestro, Layout ABNT2, Construção Durável, Compatível com PC e Mac - Rosa

De: R$ 169,90
Por: R$ 155,44

Vendido por Amazon

Combo Teclado e Mouse sem fio Logitech MK235 com Conexão USB, Pilhas Inclusas e Layout ABNT2

De: R$ 149,90
Por: R$ 119,90

Vendido por Amazon

Anker MagGo Power Bank, Carregador Portátil com Certificação Qi2 de 15W, Compatível com MagSafe, 10.000mAh, Tela Inteligente e Suporte Dobrável, para iPhone 17/15/14/13/12, Inclui Cabo USB-C, Branco

De: R$ 699,00
Por: R$ 398,99

Vendido por Amazon

Mouse Sem Fio Logitech M330 SILENT com Clique Silencioso, Design Destro, Bateria de 18 Meses, Receptor USB, Compatível com Windows, macOS, ChromeOS e Pilha Inclusa - Preto

De: R$ 109,90
Por: R$ 79,90

Vendido por Amazon

Webcam Full HD Logitech Brio 100 com Microfone Integrado, Proteção de Privacidade, Correção Automática de Luz e Conexão USB-C - Grafite

De: R$ 299,90
Por: R$ 222,11

A invasão chinesa, descoberta no início de julho, comprometeu caixas de entrada de e-mails não-classificados geridas pela Microsoft e pertencentes a altos funcionários do Departamento de Estado, incluindo o embaixador dos EUA na China, a secretária do Comércio, Gina Raimondo e outros, segundo fontes de alto escalão dos EUA.

Leia mais:

• Como achar erros no Windows e como resolver?
• Qual a vantagem de ter um Apple Watch?
• Microsoft vira alvo de investigação na UE após 14 anos; veja o motivo

Ataque hacker

• Detalhes completos sobre o ataque, incluindo como começou, não são públicos, mas levou a série de inquéritos do Congresso dos EUA;
• Na quinta-feira (27), o senador Ron Wyden, legislador líder em questões de segurança cibernética, pediu três investigações federais separadas sobre as “práticas negligentes de cibersegurança” da Microsoft;
• O senador afirmou que tais práticas permitiram à China a começar uma campanha de espionagem contra o governo dos EUA.

“Mesmo com os detalhes limitados que se tornaram públicos até agora, a Microsoft tem responsabilidade significante neste novo incidente”, disse Wyden em seu pedido, que foi endereçado ao Advogado-Geral Merric Garland, à presidente do FTC Lina Khan e à diretora da Agência de Infraestrutura de Segurança e Cibersegurança, Jen Easterly.

A Microsoft afirmou que os hackers obtiveram acesso à parte obscura, mas crítica de sua infraestrutura, chamada de chave de assinatura digital MSA, que foi usada para ganhar acesso aos dados de usuários.

A empresa explicou aspectos do hack em seu blog, mas como isso se desenrolou é desconhecido. A gigante de tecnologia alegou ainda que faria com que certas ferramentas que podem ajudar a detectar ataques cibernéticos se tornem de graça, após seu pagamento escalonado por esses serviços atraiu críticas após o ataque.

Um porta-voz da Microsoft disse que a empresa está trabalhando com agências do governo estadunidense e está comprometida em compartilhar informações sobre o ataque. “Este incidente demonstra os desafios envolvidos na cibersegurança na face de ataques sofisticados”, afirmou.

“Essas chaves de acesso são o segredo mais precioso que você tem”, afirmou Ami Luttwak, cofundador da empresa de segurança em nuvem Wiz, em entrevista ao The Wall Street Journal. “É como se você tivesse uma impressora para todos os passaportes do mundo: você pode ser quem você quiser.”

Pesquisadores da Wiz disseram que a chave digital obtida pelos hackers foi danificada em 2016 e não foi removida até semanas após a descoberta do ataque. O porta-voz da Microsoft alegou que as descobertas da Wiz apresentam “cenários hipotéticos de ataque” que a companhia não observou.

Chaves MSA podem ser usadas para garantir acesso aos produtos da Microsoft voltados ao consumidor, mas por conta de uma imperfeição na nuvem da Microsoft, os hackers conseguiram usar a chave roubada para acessar contas corporativas e do governo, segundo a própria empresa.

Especialistas de segurança e Wyden questionaram diversas práticas da gigante dos softwares, incluindo a aparente permissão de uso da mesma chave MSA por anos.

Orientações federais de cibersegurança, melhores práticas da indústria e as próprias recomendações da Microsoft a seus clientes ditam que as chaves de encriptação devem ser atualizadas mais frequentemente pela mesma razão que eles podem ficar comprometidos.

Senador Ron Wyden, legislador líder em questões de segurança cibernética

Certificados digitais também tiveram um papel no hack russo à SolarWinds, descoberto em 2020. Wyden também culpou a Microsoft por aquele incidente.

Apesar de especialistas terem elogiado a Microsoft por fornecer alguns detalhes sobre este último ataque, alguns pediram por mais informações, afirmando ser necessário determinar a extensão do dano e se ele pode acontecer novamente.

“Minha preocupação aqui é que não sabemos se a chave escapou”, disse Karim El-Melhaoui, principal arquiteto de segurança na empresa de segurança O3 Cyber.

Na Carta Wyden pediu ainda que o Departamento de Justiça dos EUA investigue se a Microsoft violou leis federais relacionadas a padrões de cibersegurança para pessoas do governo.

Ele também pediu à FTC que investigue a privacidade e práticas de segurança de dados da Microsoft, incluindo se as alegadas falhas de segurança em questão no hack começaram antes da expiração em dezembro de um decreto de consentimento de 20 anos que a agência impôs após incidente de segurança maior.

Por fim, o senador pediu ao Quadro de Revisão de Segurança Cibernética para rever a campanha de ciberespionagem e por que a suposta deficiência de segurança da Microsoft não foram previamente descobertas por auditores do governo.

“Manter a responsabilidade com a Microsoft por sua negligência vai requerer muito esforço do governo”, afirmou Wyden.

A carta é o último esforço de legisladores e especialistas em cibersegurança para ter um panorama maior do ataque, alegadamente patrocinado pelo Estado chinês.

Alguns especialistas em segurança cibernética consideraram o comprometimento da infraestrutura de e-mail baseada em nuvem da Microsoft excepcionalmente poderoso e impressionante.

Uma carta separada assinada por 14 senadores enviada na quarta-feira (26) pediu ao diretor de informações do Departamento de Estado um briefing não-confidencial sobre o hack no início de setembro.

A Wiz acredita que os hackers podem ter conseguido roubar dados além dos e-mails, como conversas do Microsoft Teams e documentos do SharePoint.

Formalmente, os EUA não ligaram o ataque à China, apesar de a Microsoft acusar um grupo de hackers chineses e pessoas de alto escalão e legisladores terem dito que Pequim é responsável. A China negou as acusações.

Mais de duas dúzias de organizações globais foram afetadas, segundo a Microsoft. Menos de dez organizações foram comprometidas nos EUA, com os hackers, aparentemente, acessando um número menor de contas individuais de e-mail em cada caso, afirmou o pessoal de alto escalão do governo estadunidense.

Eles descreveram que o ataque como tendo como alvo estritamente pessoas cujas comunicações tinham suposto valor de alta inteligência.

Com informações de The Wall Street Journal

Já assistiu aos novos vídeos no YouTube do Olhar Digital? Inscreva-se no canal!