O uso de suporte técnico chinês pela Microsoft gera receios quanto à exposição de dados do governo dos EUA.

Resumo executivo TL;DR

No centro do controverso acordo da Microsoft está um sistema que foi concebido como um compromisso entre os requisitos de segurança e a eficiência corporativa. Por quase dez anos, a gigante tecnológica tem usado o que chama de “acompanhantes digitais” — cidadãos norte-americanos com autorizações de segurança que atuam como intermediários entre engenheiros estrangeiros e sistemas governamentais confidenciais.

O sistema funciona com engenheiros chineses a fornecer instruções técnicas a esses acompanhantes americanos, que então executam comandos em redes federais sem necessariamente compreender todas as implicações do que estão a fazer. Esses trabalhadores, conhecidos como «acompanhantes digitais», muitas vezes não têm o conhecimento técnico necessário para supervisionar engenheiros estrangeiros com habilidades muito mais avançadas, descobriu a ProPublica. Alguns são ex-militares com pouca experiência em programação, que recebem pouco mais do que o salário mínimo pelo trabalho.

O acordo foi concebido no início da década de 2010, quando a Microsoft procurava conquistar lucrativos contratos federais de computação em nuvem, mantendo a sua estrutura global de força de trabalho. A Microsoft desenvolveu o acordo de acompanhamento para satisfazer os funcionários do Departamento de Defesa, que estavam preocupados com os funcionários estrangeiros da empresa, dados os requisitos de cidadania do departamento para pessoas que lidam com dados confidenciais.

Indy Crowley, um gestor sénior de programas da Microsoft apelidado de «FedRAMP whisperer» (o sussurrador do FedRAMP) devido à sua familiaridade com as regulamentações governamentais, desempenhou um papel fundamental no desenvolvimento do conceito. Ele disse à ProPublica que a contratação de escoltas virtuais surgiu como «o caminho de menor resistência» quando os funcionários do Departamento de Defesa levantaram preocupações sobre a possibilidade de a força de trabalho global da Microsoft lidar com dados confidenciais.

Embora os relatórios iniciais se concentrassem no uso do suporte chinês pela Microsoft para os sistemas do Departamento de Defesa, investigações posteriores revelaram que a prática se estende muito além das aplicações militares. A empresa utilizou a sua força de trabalho global, incluindo pessoal baseado na China, para manter sistemas em nuvem para vários departamentos e agências federais.

Durante anos, a Microsoft também utilizou a sua força de trabalho global, incluindo pessoal baseado na China, para manter os sistemas em nuvem de outros departamentos federais, incluindo partes do Departamento de Justiça, do Tesouro e do Comércio, segundo descobriu a ProPublica.

O trabalho foi realizado dentro do que é conhecido como Government Community Cloud (GCC), uma plataforma projetada para informações que não são confidenciais, mas que, mesmo assim, são sensíveis. De acordo com os padrões governamentais, isso inclui dados em que “a perda de confidencialidade, integridade e disponibilidade resultaria em sérios efeitos adversos nas operações, ativos ou indivíduos de uma agência”.

Exemplos específicos de utilização do GCC incluem:

• A Divisão Antitruste do Departamento de Justiça utiliza a plataforma para funções de investigação criminal e civil e litígios.
• Partes da Agência de Proteção Ambiental que utilizam os serviços da GCC
• O Departamento de Educação mantém sistemas na plataforma

Este âmbito mais alargado de acesso estrangeiro alarmou os especialistas em cibersegurança, que alertam que mesmo os dados governamentais não classificados podem fornecer informações valiosas a adversários estrangeiros.

Um dos aspetos mais preocupantes do sistema de acompanhamento digital é a disparidade significativa em termos de conhecimentos técnicos entre os acompanhantes americanos e os engenheiros chineses que eles devem supervisionar. Esta lacuna de competências cria uma vulnerabilidade fundamental que, segundo os especialistas, compromete toda a premissa de segurança do acordo.

«Acreditamos que o que eles estão a fazer não é malicioso, mas não temos como saber ao certo», disse uma acompanhante atual que concordou em falar sob condição de anonimato, temendo repercussões profissionais.

O problema é estrutural e intencional. A Microsoft reconheceu que os acompanhantes estão lá principalmente para garantir a conformidade com os procedimentos de tratamento de dados, e não para fornecer supervisão técnica. Matthew Erickson, um ex-engenheiro da Microsoft que trabalhou no sistema de acompanhantes, explicou que “se alguém executasse um script chamado ‘fix_servers.sh’, mas ele realmente fizesse algo malicioso, então [os acompanhantes] não teriam ideia”.

O recrutamento de acompanhantes reflete essas expectativas limitadas. Um contratado da Microsoft publicou um anúncio em janeiro de 2025 procurando um acompanhante por US$ 18 por hora, com o requisito principal sendo uma habilitação de segurança do Departamento de Defesa, em vez de conhecimentos técnicos.

«As pessoas estão a conseguir esses empregos porque têm autorização (de segurança), não porque são bons engenheiros», disse o acompanhante que concordou em falar anonimamente e que trabalha para a Insight Global.

Este acordo significa que, todos os meses, a equipa de acompanhamento da Microsoft lida com centenas de interações com engenheiros e programadores sediados na China, servindo essencialmente como canal para instruções técnicas estrangeiras nas redes federais, sem capacidade de supervisão significativa.

As vulnerabilidades inerentes à abordagem da Microsoft tornaram-se evidentes em julho de 2025, quando hackers patrocinados pelo Estado chinês exploraram vulnerabilidades no SharePoint, o software de colaboração amplamente utilizado da Microsoft. O ataque comprometeu centenas de empresas e agências governamentais, incluindo a Administração Nacional de Segurança Nuclear (NNSA) e o Departamento de Segurança Interna (DHS).

O que tornou este incidente particularmente preocupante foi a descoberta posterior da ProPublica de que o suporte ao SharePoint é feito por uma equipa de engenharia sediada na China, responsável pela manutenção do software há anos.

A cronologia do ataque ao SharePoint revela a complexidade dos desafios de segurança:

• Os hackers chineses começaram a explorar as vulnerabilidades do SharePoint já em 7 de julho de 2025.
• A Microsoft lançou uma correção em 8 de julho, mas os hackers a contornaram.
• Posteriormente, a empresa lançou uma nova atualização com «proteções mais robustas».
• As vulnerabilidades permitiram que os hackers «acessassem totalmente o conteúdo do SharePoint, incluindo sistemas de ficheiros e configurações internas, e executassem código pela rede».

Embora não haja evidências de que a equipa do SharePoint da Microsoft na China tenha participado no ataque, a coincidência destacou os riscos potenciais de ter pessoal chinês a manter software que adversários americanos estavam a atacar simultaneamente.

Especialistas em segurança nacional e cibersegurança manifestaram preocupação com as revelações, com muitos surpreendidos com a existência de tais acordos. Harry Coker, ex-executivo sénior da CIA e da Agência de Segurança Nacional, que também atuou como diretor nacional de cibersegurança durante o governo Biden, disse à ProPublica que o sistema de escolta digital representa uma oportunidade óbvia para espionagem.

«Se eu fosse um agente, consideraria isso uma via de acesso extremamente valiosa. Precisamos de estar muito atentos a isso», afirmou Harry Coker, que foi executivo sénior da CIA e da Agência de Segurança Nacional.

As preocupações baseiam-se tanto nas realidades técnicas do acordo quanto na estrutura legal que rege a recolha de dados na China. Jeremy Daum, investigador sénior do Paul Tsai China Center da Faculdade de Direito de Yale, explicou que as leis chinesas permitem que funcionários do governo recolham dados «desde que estejam a fazer algo que considerem legítimo». Ele observou que seria «difícil para qualquer cidadão ou empresa chinesa resistir de forma significativa a um pedido direto das forças de segurança ou das autoridades policiais».

Rex Booth, ex-funcionário federal de segurança cibernética que agora atua como diretor de segurança da informação da SailPoint, enfatizou que os riscos vão além das preocupações tradicionais com informações confidenciais:

«Com tantos dados armazenados em serviços na nuvem — e o poder da IA para analisá-los rapidamente —, mesmo dados não classificados podem revelar informações que podem prejudicar os interesses dos EUA.»

Harry Coker, ex-executivo sénior da CIA e da NSA

As revelações provocaram respostas rápidas tanto do Congresso quanto do Poder Executivo. O secretário de Defesa, Pete Hegseth, iniciou uma revisão imediata das práticas, afirmando nas redes sociais que

«Os engenheiros estrangeiros — de qualquer país, incluindo, claro, a China — NUNCA devem ser autorizados a manter ou aceder aos sistemas do Departamento de Defesa.»

Surgiu uma preocupação bipartidária no Congresso, com os senadores Tom Cotton (R-Arkansas) e Jeanne Shaheen (D-New Hampshire) a escreverem cartas ao secretário Hegseth exigindo mais informações sobre os acordos de suporte da Microsoft na China. O interesse do Congresso reflete a crescente consciência da China como uma ameaça cibernética e preocupações mais amplas sobre a dependência tecnológica de nações estrangeiras.

John Sherman, que atuou como diretor de informação do Departamento de Defesa durante o governo Biden, expressou surpresa com as conclusões e pediu uma «revisão completa pela DISA, pelo Comando Cibernético e por outras partes interessadas envolvidas neste assunto».

O secretário de Defesa Pete Hegseth afirma que não haverá suporte técnico estrangeiro no Departamento de Defesa

Confrontada com a revelação pública das suas práticas, a Microsoft agiu rapidamente para resolver as preocupações imediatas, ao mesmo tempo que defendia a sua abordagem geral. A empresa anunciou que deixaria de utilizar equipas de engenharia sediadas na China para dar suporte aos sistemas de computação em nuvem do Departamento de Defesa e sugeriu que mudanças semelhantes poderiam estar a caminho para outros clientes governamentais.

Num comunicado, a Microsoft afirmou: «A Microsoft tomou medidas na semana passada para reforçar a segurança das nossas ofertas de nuvem para o Departamento de Defesa dos EUA. No futuro, tomaremos medidas semelhantes para todos os nossos clientes governamentais que utilizam a Government Community Cloud (GCC) para garantir ainda mais a segurança dos seus dados.»

No entanto, a resposta da empresa levantou tantas questões quanto respostas deu. A Microsoft recusou-se a especificar o que substituiria as suas equipas de suporte chinesas, se os acompanhantes digitais continuariam a ser utilizados ou se o suporte viria de engenheiros baseados noutros países estrangeiros. A empresa também afirmou que «realizaria uma revisão para avaliar se medidas adicionais seriam necessárias» ao longo do mês seguinte.

Robert E. LaMear IV, fundador da US Cloud, ofereceu esta solução. A US Cloud é a principal fornecedora de suporte terceirizado para software empresarial da Microsoft.

«A Microsoft deveria substituir as suas equipas de suporte chinesas pela US Cloud. Estamos dispostos a trabalhar agressivamente para cumprir os requisitos de autorização das agências – fomos criados desde o início para cumprir os requisitos federais de soberania e cidadania de dados. Ou as agências podem contratar-nos diretamente.»

Em relação à equipa do SharePoint especificamente, a Microsoft reconheceu a equipa de engenharia sediada na China, mas enfatizou que ela «é supervisionada por um engenheiro sediado nos EUA e está sujeita a todos os requisitos de segurança e revisão do código pelo gestor. Já estão em andamento os trabalhos para transferir essa função para outro local».

As revelações sobre a escolta digital encaixam-se num padrão mais amplo de questões de segurança da Microsoft que têm preocupado funcionários do governo e especialistas em segurança cibernética. A ProPublica observou que a Microsoft«repetidamente priorizou o lucro corporativo em detrimento da segurança do cliente», incluindo um incidente anterior em que a empresa ignorou os avisos dos engenheiros sobre uma falha no produto que hackers patrocinados pelo Estado russo mais tarde exploraram num dos maiores ataques cibernéticos da história.

Como um prenúncio da terceirização do suporte da Microsoft Gov para a China, um ano antes, o gestor do Programa de Aquisições do Departamento de Defesa, Prescott Paulin, publicou este vídeo no LinkedIn em 2024, mostrando a Microsoft a encaminhá-lo para um call center chinês quando ele teve problemas para aceder às suas «contas relacionadas com a defesa após o horário de expediente». ID de rastreamento do suporte a incidentes da Microsoft: 2407040040000430.

O próprio sistema de acompanhamento surgiu durante um período em que a Microsoft buscava agressivamente contratos federais de nuvem, com colegas apelidando um arquiteto-chave de «FedRAMP whisperer» (o sussurrador do FedRAMP) por sua capacidade de navegar pelos requisitos de segurança do governo. O acordo permitiu à Microsoft manter sua estrutura de força de trabalho global econômica, ao mesmo tempo em que satisfazia a conformidade superficial com os requisitos de segurança federais.

Prescott Paulin, Gestor do Programa de Aquisições do Departamento de Defesa, 2024 Suporte da Microsoft terceirizado para a China Vídeo

A investigação da ProPublica revelou que, desde o início, existiam preocupações sobre o sistema de acompanhamento digital dentro da Microsoft e entre os seus contratados. Várias pessoas envolvidas no trabalho, incluindo um líder de cibersegurança da Microsoft, alertaram a empresa de que o acordo era inerentemente arriscado, mas a Microsoft «lançou e expandiu-o mesmo assim».

Um caso particularmente notável envolveu Tom Schiller, um ex-contratado da Insight Global que entrou em contacto com uma linha direta do Departamento de Defesa e escreveu a vários legisladores federais em 2024 para alertar sobre o acompanhamento digital. As suas reclamações acabaram por chegar ao Gabinete do Inspetor-Geral da Agência de Sistemas de Informação de Defesa, que conduziu entrevistas, mas acabou por encaminhar o assunto de volta à administração da DISA, em vez de prosseguir com uma investigação.

Os acompanhantes atuais também levantaram preocupações. Um funcionário da Insight Global disse à ProPublica que eles «levantaram repetidamente preocupações sobre a lacuna de conhecimento à Microsoft, ao longo de vários anos e mais recentemente em abril, e aos próprios advogados da Insight Global». O acompanhante disse que eles estavam particularmente preocupados com as leis chinesas que concedem ampla autoridade para a recolha de dados e a exposição que isso criava para as redes do governo dos EUA.

As revelações da Microsoft têm implicações mais amplas sobre a forma como o governo federal aborda a computação em nuvem e a modernização das TI. O incidente destaca tensões fundamentais entre eficiência de custos, conhecimentos técnicos e requisitos de segurança que moldaram a adoção de tecnologia pelo governo na última década.

A adoção da computação em nuvem pelo governo federal foi impulsionada em grande parte pelas promessas de redução de custos, maior eficiência e acesso a tecnologia de ponta. No entanto, o caso da Microsoft demonstra como esses benefícios podem vir acompanhados de custos ocultos de segurança que não são imediatamente aparentes para os compradores governamentais ou agências de supervisão.

A situação também levanta questões sobre a adequação dos atuais mecanismos de supervisão do governo. Apesar do sistema de acompanhamento estar em vigor há quase uma década, parece que mesmo altos funcionários do Departamento de Defesa não tinham conhecimento da sua existência. Isso sugere lacunas significativas na forma como as agências governamentais compreendem e monitorizam as práticas dos seus fornecedores de tecnologia.

Enquanto o governo lida com as implicações das revelações sobre o suporte da Microsoft, permanecem questões fundamentais sobre como equilibrar os requisitos de segurança com as realidades práticas de operar num mercado tecnológico global. O sistema de acompanhamento digital representou uma tentativa de resolver esse dilema, mas o seu aparente fracasso sugere que abordagens mais robustas podem ser necessárias.

O incidente pode acelerar esforços mais amplos do governo para reduzir a dependência de pessoal estrangeiro para funções tecnológicas críticas, mas essa transição provavelmente acarretará custos significativos e desafios técnicos. Construir capacidade técnica doméstica suficiente para lidar com requisitos complexos de TI do governo representa um grande empreendimento que exigirá investimento sustentado e atenção política.

O caso da Microsoft também destaca a importância da transparência nos contratos de tecnologia do governo. O facto de um acordo de segurança tão significativo ter funcionado por quase uma década sem o conhecimento do público sugere que os requisitos atuais de divulgação podem ser inadequados para as complexas realidades dos serviços de tecnologia modernos.

O uso de engenheiros chineses pela Microsoft para dar suporte aos sistemas do governo dos EUA representa um estudo de caso sobre as consequências indesejadas de priorizar a eficiência em detrimento da segurança em infraestruturas tecnológicas críticas. Embora o sistema de escolta digital da empresa possa ter satisfeito a letra dos requisitos de segurança federais, parece ter violado o seu espírito ao criar vulnerabilidades que adversários sofisticados poderiam explorar.

A resposta rápida da Microsoft, do Congresso e do poder executivo sugere o reconhecimento de que o acordo atual é insustentável, dadas as realidades geopolíticas em evolução e as ameaças cibernéticas. No entanto, o desafio de substituir esses sistemas e, ao mesmo tempo, manter as capacidades de TI do governo exigirá um planeamento cuidadoso e recursos significativos.

À medida que os Estados Unidos continuam a competir com a China em tecnologia e capacidades cibernéticas, as revelações do suporte da Microsoft servem como um forte lembrete de que a segurança não pode ser tratada como algo secundário no design de sistemas críticos. O custo de errar na segurança cibernética — seja medido em dados comprometidos, segurança nacional prejudicada ou perda da confiança pública — excede em muito as economias de curto prazo que podem advir de cortes nos requisitos de segurança da cadeia de abastecimento.

A resolução final desta situação provavelmente estabelecerá precedentes importantes para a forma como o governo aborda a supervisão dos fornecedores de tecnologia e os requisitos de segurança num mercado global cada vez mais complexo. Os riscos não poderiam ser maiores, pois a integridade da infraestrutura digital dos Estados Unidos depende da tomada das decisões certas.