A U.S. Cyber Safety Review Board (CSRB) criticou a Microsoft por uma série de falhas de segurança que levaram à violação de quase duas dúzias de empresas na Europa e nos EUA por um grupo de hackers baseado na China chamado Storm-0558 no ano passado.
As descobertas, divulgadas pelo Departamento de Segurança Interna (DHS) dos EUA, concluíram que a intrusão poderia ter sido evitada e que se tornou bem-sucedida devido a uma “cascata de erros evitáveis da Microsoft”.
O CSRB apontou uma série de decisões operacionais e estratégicas da Microsoft que indicam uma cultura corporativa que despriorizava investimentos em segurança empresarial e gestão rigorosa de riscos, contradizendo a centralidade da empresa no ecossistema tecnológico e o nível de confiança que os clientes depositam na empresa para proteger seus dados e operações.
Além disso, a CSRB criticou a gigante da tecnologia por não detectar o comprometimento por conta própria, dependendo em vez disso de um cliente para sinalizar a violação. Também foi apontada a falha da Microsoft em priorizar o desenvolvimento de uma solução automatizada de rotação de chaves e reestruturar sua infraestrutura legada para atender às necessidades da paisagem de ameaças atual.
O incidente veio à tona em julho de 2023, quando a Microsoft revelou que o Storm-0558 obteve acesso não autorizado a 22 organizações, bem como a mais de 500 contas individuais de consumidores.