SEC – Os hackers acessaram dados autênticos usados por empresas em testes

Pela notícia publicada ontem (25 de setembro 2017)  por Reuter, mais um escândalo de segurança cibernética estará em evidências nos próximos dias.

Apesar de alegar ser ambiente de teste, a extensão do “prejuízo” poderá render a “cabeça” de mais executivos de TI e segurança das empresas envolvidas.

Será que o uso de dados reais em ambientes de testes foi uma negligência ou a responsabilidade pela atividade de gerar as informações foi delegada a  para um “estagiários” iniciantes sem qualquer conhecimento?

Será que esta faltando competência ou falta experiência das equipes de segurança?

Será que a reputação será abalada após este evento?

Segue a versão da publicação da Reuters originalmente disponível em https://reut.rs/2fnXj9M

Sarah N. Lynch , Joseph Menn

WASHINGTON / SAN FRANCISCO (Reuters) – Os hackers violaram o sistema informático da Comissão de Valores Mobiliários dos Estados Unidos no ano passado aproveitando as empresas que utilizaram dados financeiros autênticos quando testaram o sistema de arquivamento corporativo da agência, de acordo com fontes familiares ao assunto.

O Escritório Federal de Investigação e o Serviço Secreto dos EUA lançaram uma investigação sobre uma invasão de 2016 no sistema EDGAR da SEC, disseram várias dessas pessoas.

As fontes falaram anonimamente porque não é uma investigação pública. 

O sistema EDGAR da SEC é uma rede crucial usada pelas empresas para registrar relatórios de ganhos e outras informações relevantes.

Os porta-vozes do FBI, do Serviço Secreto e da SEC se recusaram a comentar, dizendo que não podiam confirmar nem negar a existência de uma investigação.

A violação ocorreu em outubro de 2016 e foi detectada no mesmo mês. O ataque parecia ter sido encaminhado através de um servidor na Europa Oriental, de acordo com um memorando interno do governo descrevendo o incidente, que foi visto pela Reuters.

Não havia evidências no momento em que os dados foram recuperados indevidamente, de acordo com uma fonte familiarizada com o assunto, e a questão foi tratada internamente pelo Escritório de Tecnologia da Informação da SEC.

Só depois que a Divisão de Execução da SEC detectou um padrão de negociação suspeita antes das divulgações públicas da empresa, os funcionários voltaram para a equipe de tecnologia da agência e perguntaram se algumas empresas estavam usando dados autênticos quando eles estavam testando o sistema EDGAR, disse uma das pessoas.

Ela disse que “muitas empresas” não apresentaram dados reais que se acredita ter sido pirateados.

O processo de teste “é para as pessoas enviar arquivos de teste para garantir que eles formatam corretamente e não tenham erros de submissão”, disse esta pessoa.

“Eles usam normalmente esse direito antes que eles arquivem seus relatórios normais. Eles devem usar dados falsos “, disse. “No entanto, ainda é suposto ser protegido da mesma maneira no caso de fazer algo estúpido. Algumas empresas fizeram, e não foi protegida adequadamente “.

O presidente da SEC, Jay Clayton, confirmará a investigação em curso da divisão de execução quando ele testemunhar terça-feira perante o Comitê de Bancos do Senado, de acordo com o testemunho preparado pela Reuters.

Ele também pediu ao Escritório de Inspetor-Geral da SEC para investigar a intrusão em si, o escopo de informações não públicas que foram roubadas e como a SEC respondeu ao incidente, o que ele disse que foi devidamente relatado para a Preparação para Emergência em Computador do Departamento de Segurança Interna Equipe.

A investigação do FBI, que está sendo levada para fora de Nova Jersey, está se concentrando especificamente na atividade comercial em conexão com a violação, de acordo com várias fontes.

Uma possibilidade que o FBI está considerando é que a violação da SEC foi conectada a um grupo de hackers que interceptaram comunicados de imprensa corporativos eletrônicos em um caso anterior que o FBI em Nova Jersey ajudou a investigar, disseram várias fontes.

Nesse caso, os promotores federais do bairro de Nova York, no Brooklyn e Nova Jersey, bem como a SEC, cobravam uma aliança de comerciantes de ações e suspeitas de hackers de computadores com sede nos Estados Unidos e na Ucrânia.

Clayton, que foi instalado como presidente em maio, só soube da violação de 2016 em agosto, através da investigação da execução. Os Comissários da SEC, Kara Stein e Mike Piwowar, que são os únicos outros dois membros sentados da agência no momento, também só aprenderam sobre isso recentemente.

Alguns advogados da SEC não envolvidos no assunto aprenderam sobre isso quando o leram no jornal, segundo fontes.

O atraso na divulgação da invasão e a lacuna de um período de um mês entre descobri-lo e descobrir o potencial de abuso de informação privilegiada são particularmente embaraçosas para uma agência que empurrou as empresas a reforçar suas capacidades cibernéticas e que investiga as empresas por não divulgar brechas aos investidores mais rapidamente.

Embora nenhuma empresa tenha sido cobrada por divulgações erradas, a SEC já apresentou acusações contra corretoras sobre práticas de segurança cibernética.

A SEC experimentou outros incidentes cibernéticos nos últimos meses. Entre outubro de 2016 e abril de 2017, a SEC documentou uma variedade de vários incidentes de segurança cibernética, de acordo com uma fonte familiarizada com o assunto.

A Reuters não conseguiu saber imediatamente a natureza de todos os incidentes, embora a fonte tenha dito que vários envolvendo EDGAR.

Em um outro caso que não estava relacionado ao EDGAR, um servidor configurado para uso SEC não havia sido atualizado para corrigir vulnerabilidades conhecidas, disse uma pessoa familiarizada com o assunto.

A SEC detectou comunicações não autorizadas a partir dele. O FBI observou o trânsito, que era sinalização inicial ou “beaconing” em vez de exportação de informações importantes, e o buraco estava fechado. Nesse caso, o sinal do beacon foi enviado para um servidor na Ucrânia, acrescentou a pessoa.

A SEC foi criticada por suas defesas cibernéticas. O Departamento de Segurança Interna dos EUA detectou 5 vulnerabilidades “críticas” que precisavam ser corrigidas quando escaneava uma amostra dos computadores e dispositivos da agência na semana de 23 de janeiro.

Deixe um comentário