Foto de americano Ron Wyden enviou recentemente uma carta ao presidente da FTC, na qual classificou a Microsoft como uma ameaça à segurança nacional devido ao que descreveu como "grave negligência em segurança cibernética".
Na carta, Wyden pediu uma investigação sobre o papel da Microsoft em váriosdentde segurança cibernética de grande repercussão, afirmando que as práticas da empresa colocaram em risco infraestruturas críticas e a segurança nacional dos EUA.
Wyden acusa a Microsoft
Na carta de 10 de setembro ao presidente da FTC, Andrew Ferguson, Wyden alegou que a "grave negligência em segurança cibernética" da gigante da tecnologia levou a ataques de ransomware contra infraestruturas críticas , incluindo organizações de saúde dos EUA, pelo menos em parte devido a configurações padrão no sistema operacional Windows.
Wyden comparou a Microsoft a um "incendiário que vende serviços de combate a incêndios às suas vítimas" e, segundo ele, agências governamentais e outras empresas "não têm escolha" a não ser usar os produtos da empresa porque ela detém "quase o monopólio da TI corporativa"
Wyden citou o ataque de ransomware de maio de 2024 contra a operadora de hospitais Ascension como um exemplo primordial.
Segundo a empresa, esse caso expôs dados médicos e de seguros privados de quase 5,6 milhões de pessoas. Ele escreveu que o operador do hospital informou sua equipe de que um funcionáriotrac, usando um laptop da Ascension, havia clicado em um link malicioso fornecido pelo mecanismo de busca Bing, da Microsoft.
Wyden afirma que o suporte da Microsoft a tecnologias de criptografia desatualizadas e configurações padrão levou à exploração da vulnerabilidade Ascension. Ele também disse que a empresa ainda não instruiu adequadamente as empresas sobre como mitigar a ameaça.
Um porta-voz da Microsoft confirmou na quarta-feira que o RC4, o padrão de criptografia mencionado por Wyden, é de fato antigo, mas representa "menos de 0,1%" do tráfego da empresa, e a Microsoft desencoraja seus clientes a usá-lo.
"No entanto, desativar completamente o seu uso prejudicaria muitos sistemas de clientes", disse o porta-voz, e a empresa está reduzindo gradualmente o alcance do uso por parte dos clientes, ao mesmo tempo que tenta fornecer avisos e orientações.
O RC4 será desativado por padrão em determinados produtos Windows a partir do primeiro trimestre de 2026, e a empresa afirmou que incluirá "medidas adicionais de mitigação" para as implementações existentes.
Wyden exigiu uma revisão das práticas de cibersegurança do sistema judicial
A decisão de Wyden em relação à Microsoft ocorre pouco depois de ele ter instado o presidente do Supremo Tribunal, John Roberts, a iniciar uma revisão abrangente das práticas de cibersegurança do sistema judicial federal.
Seu pedido ocorreu após um ataque cibernético significativo ao sistematronde gerenciamento de processos, marcando a segunda grande violação de segurança em cinco anos.
A violação mais recente foi registrada em junho deste ano e levou os tribunais a finalmente anunciarem a implementação da autenticação multifatorial, uma medida básica de segurança que é padrão em agências do poder executivo desde 2015.
Na opinião de Wyden, a negligência em matéria de cibersegurança nos tribunais representa sérios riscos para a segurança nacional, uma vez que informações sensíveis relacionadas a investigações em curso e a testemunhas federais podem ser exploradas por adversários estrangeiros.
Documentos judiciais sigilosos, localizados no sistema de gerenciamento de processos, frequentemente incluem informações extremamente sensíveis sobre fontes e métodos de segurança nacional, nomes de testemunhas federais importantes ou detalhes de investigações em andamento.
Essas informações, nas mãos de adversários estrangeiros ou cartéis criminosos, poderiam ser extremamente prejudiciais à segurança dos americanos. A situação não melhora pelo fato de o New York Times ter noticiado que “documentos relacionados a atividades criminosas com ligações internacionais” foram o alvo do ataque cibernético mais recente.
