.
A Microsoft é acusada pela empresa de inteligência cibernética Hold Security de violar um acordo entre os dois ao fazer uso indevido do banco de dados da Hold de mais de 360 milhões de conjuntos de credenciais retirados da dark web.
Em uma ação movida no King County Superior Court em Washington, Hold disse que tinha um acordo com a Microsoft desde 2014 para conceder à gigante do Windows acesso ao seu banco de dados de contas comprometidas com a expectativa de que a Microsoft limitaria o uso para comparar os registros de Hold contra a Microsoft contas de clientes.
“O objetivo dos acordos das partes… era que a Microsoft comparasse as credenciais roubadas recebidas com as credenciais da conta de seus próprios clientes… o processo.
Os dados que não correspondiam às contas da Microsoft não deveriam ser usados e os dados vinculados às contas deveriam ser excluídos depois que os indivíduos fossem notificados e o problema fosse resolvido. A Microsoft não cumpriu nenhum desses termos acordados, alega o processo.
Alegações de uso indevido…
O mau comportamento começou quatro anos depois que a Hold e a Microsoft começaram a fazer negócios, afirma o processo.
A Microsoft “utilizou indevidamente e sem autorização credenciais de conta roubadas acessadas por retenção na criação” Serviços de Federação do Active Directory (ADFS), serviço de token de segurança local da Microsoft, afirma o processo.
Não está claro como a Microsoft usou as credenciais roubadas para criar o ADFS; pedimos mais detalhes à equipe jurídica de Hold, mas não obtivemos resposta.
O processo também acusa a Microsoft de usar “indevidamente e sem autorização” contas roubadas no banco de dados de Hold em sua administração do LinkedIn e GitHub, ambos adquiridos após a declaração inicial de trabalho que definia quais domínios a Microsoft poderia coletar dados.
O processo acusa ainda a Microsoft de “conquistar” dados históricos, que depois disponibilizou a terceiros por meio de seu navegador Edge. Como esses dados foram disponibilizados não está claro no processo – também perguntamos aos advogados de Hold sobre isso.
Juntamente com tudo o que foi dito acima, o processo afirma “com base em informações e crenças” que “pode ter havido uso indevido adicional dos dados”.
Hold afirma no processo ter descoberto em 2021 que a Microsoft havia “retido indevidamente[ing] credenciais de conta roubadas em violação do acordo das partes”, e o CEO da Hold, Alex Holden, contatou a Microsoft para discutir o assunto.
“A Microsoft se recusou a aderir ao escopo de uso acordado. A Microsoft continuou a utilizar as credenciais de conta roubadas acessadas, tanto iguais quanto não combinadas, para seus próprios propósitos”, alega o processo.
… e abuso
Além de alegar que a Microsoft estava coletando e usando dados em violação de seus acordos com a Hold, o processo também alega que a Microsoft realizou uma campanha de assédio contra Hold e Holden quando as empresas começaram a ter problemas.
Os advogados de Hold afirmam que a Microsoft instruiu seus funcionários a pararem de trabalhar com Holden depois que Holden fez reivindicações críticas à Microsoft. Derrubar da rede TrickBot, e que os funcionários da Microsoft twittaram informações falsas que fizeram o jornalista de segurança cibernética Brian Krebs renunciar ao conselho da Hold, um relatório contestado por Krebs.
Krebs disse em 2020 que nunca foi pago por seu trabalho com Hold. Ele adicionado em um e-mail para GeekWireGenericName recentemente: “Pedi a Alex para remover meu nome depois de 10 anos porque sua empresa parecia estar prosperando e porque [Microsoft’s] tweet não foi a primeira vez que alguém chamou atenção [Krebs being on Hold’s board] sem qualquer contexto, ou insinuando algo nefasto.”
Um porta-voz da Microsoft nos enviou uma declaração:
“Nos últimos meses, a Microsoft esteve em contato com os representantes da Hold Security em um esforço para resolver amigavelmente uma disputa sobre a relação contratual das partes. Como as reivindicações no processo não refletem com precisão os termos do contrato, a Microsoft buscará um improcedência dos pedidos.” ®
.
