O holandês Dirk-jan descobre um problema de segurança na Microsoft

"Eu estava olhando para a tela e pensei: Isso não pode estar acontecendo. Isso não pode estar funcionando..."

No início, é quase tudo descrença quando Dirk-jan Mollema percebe a gravidade do erro que acabou de descobrir. E então a seriedade se instala. "Não quero ser capaz de fazer esse tipo de coisa; não quero essa responsabilidade."

A falha descoberta por Mollema está no serviço Microsoft Entra ID. Trata-se de um serviço de autenticação usado para fazer login em outros produtos da Microsoft, incluindo o serviço de nuvem Azure e o pacote Office Microsoft 365.

Mollema encontrou uma nova maneira de fazer login e executar ações em nome de outros usuários. "Na verdade, era para uso interno da própria Microsoft. Mas eu também pude usar."

E esse método de login continha uma falha crucial: não verificava se você realmente precisava de acesso ao sistema. Dessa forma, um hacker poderia obter acesso aos sistemas Microsoft de qualquer empresa.

"Você pode ver, por exemplo, quem trabalha lá e quais são os dados deles", diz Mollema. "E tudo isso sem deixar rastros."

Pior ainda: um hacker poderia se tornar administrador e fazer todo tipo de alteração. "Assim, os outros administradores verão que há um novo usuário, então não é algo que acontece secretamente", diz Mollema. Mas, dessa forma, um hacker poderia ter acesso a todos os e-mails e arquivos da empresa. "E também a todos os tipos de dados pessoais."

No vídeo abaixo, o repórter de tecnologia Wouter van Dijke explica as consequências do erro na Microsoft:

Quando Mollema descobriu o erro, ele o reportou imediatamente à Microsoft. "Acho que este é o relatório mais rápido que já escrevi. Eu soube imediatamente: isso precisa ser corrigido o mais rápido possível. Então, reportei em duas horas."

E a Microsoft também levou o relatório muito a sério. "Eles corrigiram o problema em tempo recorde. No final, lançaram uma solução mundial em três dias. Isso é muito rápido para uma empresa do tamanho da Microsoft."

A gravidade da situação também fica evidente no alerta emitido pela Microsoft, que avalia o erro em até 10, a pontuação máxima.

Qualquer pessoa que descubra um problema de segurança e o relate à Microsoft pode esperar uma recompensa. Essas chamadas recompensas por bugs podem chegar a pelo menos US$ 100.000 (€ 85.000). Mollema não quis revelar quanto a Microsoft lhe pagou. "Mas eles definitivamente têm uma recompensa por bugs. " dado."

Graças ao relatório de Mollema, a Microsoft conseguiu corrigir a vulnerabilidade rapidamente. Não parece que outras pessoas tenham descoberto o mesmo problema ou sequer o explorado. Mollema: "A Microsoft investigou isso e afirma não ter visto nenhum abuso. Presumo que seja verdade. Mas nunca se pode ter certeza absoluta."

As empresas que utilizam os serviços da Microsoft não precisam se preocupar agora, diz Mollema. "Esse problema realmente foi culpa da Microsoft. Como empresa, não havia nada que pudéssemos fazer a respeito. Basicamente, nenhuma ação é necessária para as empresas, porque a Microsoft já resolveu o problema."

O impacto de um hack pode ser significativo. Os dados de Sandra vazaram de um laboratório médico, ela explica neste vídeo: