Microsoft teve seu diretório de brechas comprometido e não contou para ninguém

No começo de 2013, grandes empresas como Apple, Facebook e Twitter foram atacadas por um grupo hacker que conseguiu efetuar as invasões explorando uma brecha do Java. A Microsoft estava entre elas, e declarou na época que um “pequeno número de computadores” tinha sido comprometido, mas sem dar muitos detalhes.

A companhia chegou inclusive a afirmar o seguinte: “Não temos evidência de que dados de usuários tenham sido afetados.” Mas internamente um sinal vermelho tinha sido levantado. A Reuters publicou uma reportagem nesta terça-feira, 17, revelando que aquele ataque de 2013 afetou um dos bancos de dados mais sensíveis da Microsoft, justamente o que contém descrições de vulnerabilidades críticas e não resolvidas em seus produtos.

Essas informações são muito problemáticas porque elas poderiam fornecer meios para que indivíduos ou até governos hackeassem pessoas, empresas e Estados usando brechas em produtos como Windows e o pacote Office. Um exemplo de ataque desse gênero foi o WannaCry, que só foi possível após o vazamento de um banco de dados da Agência de Segurança Nacional dos EUA contendo ferramentas de hacking.

A história foi confirmada independentemente por cinco pessoas que faziam parte da equipe de segurança da Microsoft naquela época, mas a empresa não quis fazer comentários.

Segundo os ex-funcionários, algum tempo depois do ocorrido, a Microsoft analisou ataques a outras empresas para tentar entender se o conteúdo disponível no banco de dados poderia ter sido usado naquelas ocasiões, mas não encontrou evidências que levassem a essa conclusão. Além disso, algumas das brechas já tinham sido resolvidas, o que contribuiu na decisão de não tornar a situação pública.

Depois disso, a empresa ampliou a segurança do banco de dados, que até então estava trancado apenas por uma senha.