EUA multam 8 empresas por falhas de segurança

O governo dos Estados Unidos está multando oito empresas do setor financeiro por falhas em políticas de segurança que levaram ao vazamento de dados de dezenas de milhares de pessoas, no país e fora dele. As sanções vão de US$ 200 mil a US$ 300 mil e atingem as companhias que trabalham com investimentos, análises e serviços financeiros e foram vítimas de ataques que, na visão das autoridades, foram fruto do descumprimento de normas de proteção.

• Apple é processada por violar privacidade em falha da Siri
• Novo ataque Mão Fantasma permite que criminosos usem celular como o próprio dono
• Ransomware, o parasita da Transformação Digital

Cinco empresas do grupo Cetera foram penalizadas pela Comissão de Valores Mobiliários dos EUA (SEC, na sigla em inglês), com o conglomerado pagando US$ 300 mil. A segunda maior multa é do grupo Cambridge, com duas empresas irregulares levando a um valor de US$ 250 mil; por fim, está a KMS Financial Services, com uma sanção de US$ 200 mil. Os ataques que resultaram nas penalidades aconteceram entre 2017 e 2020.

Em todos os casos, as invasões aconteceram a partir de contas de e-mails de funcionários, com a SEC afirmando que os perfis baseados em sistemas remotos não estavam protegidos da forma devida e, com isso, levaram ao comprometimento de informações de clientes e parceiros comerciais. Os dados vazados, em si, não foram revelados, mas podem conter informações pessoais e financeiras, assim como detalhes sobre investimentos realizados que não deveriam vir à público.

Além disso, as autoridades apontam atitudes inadequadas das empresas ao lidarem com os incidentes. A Cambridge, por exemplo, teria descoberto os ataques em janeiro de 2018, mas apenas implementado salvaguardas de segurança relacionadas às contas neste ano; o caso é parecido com o da KMS, atingida em setembro de 2018, mas com novas políticas entrando em vigor apenas em agosto de 2020. A situação mais grave é a da Celera, que teria demorado em alertar os clientes sobre o ocorrido e usado linguagem pouco clara nestes comunicados, tentando passar a impressão de que o vazamento era de pouca importância e que estava tomando atitudes sobre o assunto.

Em todos os casos, as empresas foram indiciadas por não seguirem critérios mínimos de segurança digital e resposta aos incidentes. A diretora da SEC, Kristina Littman, afirmou ainda que empresas do setor financeiro e de investimentos precisam ter atenção especial a esses protocolos, bem como às normas federais de proteção de informações, de forma a não exporem os clientes nem terem suas operações comprometidas.

Além do pagamento de multas, os três conglomerados se comprometeram a revisarem suas práticas de segurança, de forma a evitarem novos incidentes e penalizações no futuro. Apesar disso, segundo a SEC, nenhuma das empresas acionadas confirmou ou negou oficialmente que seus dados foram comprometidos, em mais um sinal de alerta para as operações de sistemas financeiros que seguem como um dos alvos preferenciais dos cibercriminosos.

Fonte: SEC