Emma Roth é uma escritora de notícias que cobre as guerras de streaming, tecnologia do consumidor, criptomoedas, mídias sociais e muito mais. Anteriormente, ela foi escritora e editora na MUO.
O financiamento está prestes a acabar para o programa Common Vulnerabilities and Exposures (CVE) – um sistema usado por grandes empresas como Microsoft, Google, Apple, Intel e AMD para identificar e rastrear vulnerabilidades de segurança cibernética divulgadas publicamente. O programa ajuda os engenheiros a identificar quão grave é uma exploração e como priorizar a aplicação de patches ou outras mitig ações.
A MITRE, a organização financiada pelo governo por trás do programa, confirmou ao The Verge que seu contrato para “desenvolver, operar e modernizar” o CVE expirará em 16 de abril.
Lançado pela primeira vez em 1999, o programa CVE abriga um banco de dados onde organizações participantes podem atribuir IDs a vulnerabilidades de segurança cibernética conhecidas. Os IDs consistem nas letras “CVE” seguidas de um ano e um número, como CVE-2022-27254, permitindo que profissionais de segurança monitorem detalhes sobre as vulnerabilidades que podem impactar os dispositivos que usamos todos os dias e sistemas que contêm informações críticas para praticamente tudo o que fazemos.
Lukasz Olejnik, um pesquisador de segurança e privacidade, disse em um post no X que a falta de apoio ao CVE poderia “paralisar” os sistemas de segurança cibernética em todo o mundo. “A consequência será uma quebra na coordenação entre fornecedores, analistas e sistemas de defesa — ninguém terá certeza de que está se referindo à mesma vulnerabilidade”, escreveu Olejnik. “Caos total e um enfraquecimento repentino da segurança cibernética em geral.”
“O governo continua a fazer esforços consideráveis para apoiar o papel da MITRE no programa e a MITRE permanece comprometida com o CVE como um recurso global”, disse Yosry Barsoum, vice-presidente da MITRE e diretor do Centro para a Segurança da Pátria, em uma declaração por e-mail ao The Verge. Barsoum também disse que a mudança afetará o programa Common Weakness Enumeration, que cataloga fraquezas de hardware e software.
A notícia foi inicialmente detectada em uma carta vazada para membros do conselho da MITRE postada no X e Bluesky. A MITRE recebe financiamento do Departamento de Segurança Interna dos EUA (DHS) e da Agência de Segurança de Infraestrutura (CISA) para “operar e evoluir o Programa CVE como uma terceira parte independente e objetiva”, de acordo com um vídeo sobre o programa.