Os supostos hackers da China que forjaram identidades de clientes da Microsoft para ler e-mails de funcionários do Departamento de Estado também obtiveram os e-mails pessoais e políticos do deputado Don Bacon, um republicano moderado de Nebraska no Comitê de Serviços Armados da Câmara.
Bacon publicou na segunda-feira, 14, em sua conta no X (o antigo Twitter) que foi notificado pelo FBI de que seus e-mails haviam sido hackeados por espiões chineses que se aproveitaram de um erro da Microsoft por um mês entre meados de maio e de junho, o que está de acordo com o que investigadores disseram sobre outras brechas que ocorreram.
Leia também
Bacon disse que “trabalharia horas extras” para garantir que Taiwan receba todos os bilhões de dólares em armamento dos Estados Unidos que encomendou. “Eu sou um grande defensor de Taiwan”, Bacon disse ao Washington Post por mensagem de texto. “Eu suspeito de que eles gostariam de informações para me envergonhar ou me prejudicar na política. Como eu disse para o FBI, eu não tenho nada para me envergonhar.”
Fontes governamentais e privadas disseram ao The Post um mês atrás que as vítimas de uma campanha de hacking incluíam a secretária de Comércio Gina Raimondo, funcionários não identificados do Departamento de Estado, um defensor dos direitos humanos e grupos de reflexão. Eles também informaram que um membro do Congresso foi alvo.
Bacon disse ao The Post que ele foi notificado sobre a invasão apenas na segunda-feira, o que sugere que novas vítimas ainda estão sendo descobertas. O FBI disse que não iria comentar. A Microsoft não atendeu a pedidos de comentários.
Oficiais descreveram que a espionagem como “tradicional”, do tipo esperado por todos os lados. Tratava-se de observação sobre questões de especial preocupação, como a resposta dos EUA à escalada de tensões entre Taiwan e a China. Mas a brecha chamou a atenção de especialistas por outro motivo: não era claro como o governo poderia tê-la prevenido, enquanto o governo depende exclusivamente da Microsoft para dados em nuvem, e-mail e serviços de autenticação.
A Microsoft disse que os hackers obtiveram as chaves de assinatura necessárias para criar identidades de clientes verificadas que poderiam contornar a autenticação multifatorial. Combinado com outras falhas da Microsoft, milhões de pessoas poderiam ter sido expostas a ataques.
Funcionários disseram que apenas algumas dezenas de entidades foram falsificadas antes que o Departamento de Estado encontrasse comportamento suspeito em seus registros de atividades. A Microsoft foi então capaz de pesquisar em seu próprio histórico a chave mestra que os hackers obtiveram e bloquear o acesso futuro.
Diversos membros do Congresso exigiram que as agências federais explicassem como planejam combater ataques semelhantes no futuro e que a Microsoft tornasse os históricos mais amplamente disponíveis — o que concordou em fazer. O senador Ron Wyden foi além, pedindo ao Departamento de Justiça e à Comissão Federal de Comércio para investigar se as práticas de segurança da Microsoft eram tão ruins.
Wyden também insistiu que o Departamento de Segurança Interna fizesse com que seu Conselho de Revisão de Segurança Cibernética de dois anos examinasse a violação da nuvem da Microsoft. Na semana passada, o conselho disse que assumiria a tarefa. O Departamento de Segurança Interna dos Estados Unidos encaminhou as questões para o FBI./Washington Post.
