Investigação detalhou como “escolta digital” teria aberto brechas de acesso a dados confidenciais do Pentágono por quase uma década
Uma apuração da organização jornalística norte-americana ProPublica revelou que a Microsoft utiliza engenheiros baseados na China para prestar suporte técnico aos sistemas em nuvem do Departamento de Defesa (DoD) dos Estados Unidos. Prática adotada há quase uma década com mínima supervisão de funcionários norte-americanos. A revelação levanta sérias preocupações sobre vulnerabilidades a ataques cibernéticos e espionagem estrangeira, um sério temos desde a Guerra Fria.
O modelo supostamente falho adotado pela Microsoft é chamado de “digital escorting” (escolta digital), que consiste em designar profissionais norte-americanos com credenciais de segurança para supervisionar remotamente o trabalho dos engenheiros estrangeiros. O problema é que esse pessoal não teria preparo técnico suficiente para identificar comportamentos suspeitos. Na prática, os escoltas apenas copiam e colam comandos enviados por engenheiros chineses para dentro dos sistemas federais, mesmo sem compreender totalmente suas funções.
“Confiamos que eles não estejam fazendo algo malicioso, mas a verdade é que não temos como saber”, afirmou à ProPublica um credenciado que solicitou anonimato. Tudo em nome da economia de gastos. Os anúncios de emprego para escoltas eram divulgados por uma terceirizada da Microsoft que oferecia salário inicial de US$ 18 por hora sem exigir conhecimentos avançados em programação – muito menos protocolos avançados de segurança digital. Seria como se na Guerra Fria uma empresa contratada pelo Pentágono tivesse instalações e funcionários estrangeiros baseados em algum país do Tratado de Varsóvia.
O arranjo foi criado para contornar a exigência do governo norte-americano de que apenas cidadãos ou residentes permanentes tenham acesso a dados classificados como “nível de alto impacto”, relacionados à defesa nacional, proteção de vidas e estabilidade financeira. Segundo especialistas ouvidos pela reportagem, isso pode ter aberto caminho para espionagem, justamente no momento em que a China é apontada como a maior ameaça cibernética aos Estados Unidos.
“Se eu fosse um agente de inteligência, esse seria um canal de acesso extremamente valioso”, disse Harry Coker, ex-diretor nacional de cibersegurança e ex-executivo da CIA e da NSA, entrevistado pela ProPublica.
Problema parecido já ocorreu. Em junho do ano passado a mesma ProPublica denunciou que uma falha em um produto da Microsoft usado por milhões para acessar computadores de trabalho poderia expor informações de segurança nacional, propriedade intelectual corporativa e e-mails pessoais comprometedores. A denúncia partiu de Andrew Harris, especialista em cibersegurança que já havia trabalhado para o DoD. Contratado em 2016 pela empresa para proteger as redes mais sensíveis do país contra hackers, ele alertou colegas sobre o perigo, mas foi ignorado.
Harris deixou a Microsoft em agosto de 2020. Meses depois, hackers russos praticaram o ataque SolarWinds, uma das maiores invasões cibernéticas da história. A falha identificada foi usada para acessar dados confidenciais de agências federais, incluindo a Administração Nacional de Segurança Nuclear (ANSN) e o Institutos Nacionais de Saúde (NIH), agência conglomerada que então trabalhava em pesquisas sobre a covid-19 e distribuição de vacinas. Assim como agora, a queixa era que a empresa priorizou decisões de negócios em detrimento da segurança. Um dos principais temores após as denúncias era que grandes esforços para a correção da falha prejudicassem as chances de novos contratos de computação em nuvem com o governo.
As fragilidades continuaram. Em 2023, hackers agora ligados ao governo chinês invadiram caixas de e-mail de autoridades do alto escalão dos EUA, incluindo o embaixador na China e o secretário de Comércio, roubando o conteúdo de 60 mil e-mails do Departamento de Estado (DoS).
A defesa da Microsoft
Em resposta à reportagem, a Microsoft afirmou que o modelo de escoltas está em conformidade com os requisitos do governo e que os profissionais são treinados para proteger dados sensíveis. A empresa também declarou que engenheiros estrangeiros não têm acesso direto aos sistemas ou dados, e que todo acesso passa por um processo interno chamado “Lockbox”, que requer validação por um funcionário baseado nos EUA.
Ainda assim, ex-funcionários da empresa disseram à ProPublica que o programa foi considerado de risco desde sua concepção e que alertas internos foram ignorados. Um ex-engenheiro da Microsoft chegou a afirmar que, caso um script malicioso fosse disfarçado como uma simples manutenção, os escoltas provavelmente não saberiam distinguir.
Lições para o Brasil
O caso reacende o debate global sobre proteção de dados e soberania digital. No contexto da Lei Geral de Proteção de Dados (LGPD), vigente no Brasil desde 2020, práticas semelhantes poderiam violar princípios fundamentais da norma, como o de segurança, transparência e responsabilização. Empresas que atuam no país e compartilham dados sensíveis com equipes estrangeiras, especialmente de países com legislação de vigilância agressiva, como a China, devem redobrar seus controles para evitar sanções da Autoridade Nacional de Proteção de Dados (ANPD).
Chineses fora
Após a denúncia, o DoD admitiu o uso de escoltas “em ambientes não classificados” e afirmou que eles apenas orientam administradores autorizados. No entanto, especialistas afirmam que a prática representa uma falha de segurança grave, com potencial para comprometer operações militares e informações estratégicas.
A revelação ocorre em meio ao acirramento das tensões entre EUA e China, especialmente no campo digital. Em depoimento ao Senado norte-americano em maio, o presidente da Microsoft, Brad Smith, afirmou que a empresa “está retirando os chineses das agências”, mas não explicou como eles chegaram até lá e nem se o modelo de escoltas será revisto.
