A SolarWinds, empresa de software no centro de um hack de grandes proporcões ocorrido dezembro de 2020 que afetou várias agências governamentais dos EUA, admitiu que seus executivos podem em breve enfrentar acusações da Securities and Exchange Commission (SEC), comissão de valores mobiliários dos EUA, por sua resposta ao incidente.
O hack generalizado — que o governo dos EUA atribuiu ao serviço de inteligência da Rússia — afetou várias grandes empresas, bem como o Departamento de Defesa, Departamento de Justiça, Departamento de Comércio, Departamento do Tesouro, Departamento de Segurança Interna, Departamento de Estado, Departamento de Energia, entre outros.
Os hackers encontraram uma maneira de inserir malware em uma versão do aplicativo de monitoramento de TI Orion da empresa, permitindo que os hacekers russos ganhassem uma posição em alvos de alto valor. Eles usaram o acesso para implantar malware adicional para comprometer sistemas internos e baseados em nuvem e roubar informações confidenciais por vários meses.
Neste fim de semana, um porta-voz da SolarWinds defendeu a resposta da empresa ao ataque, mas disse que seus executivos podem enfrentar acusações relacionadas ao tratamento da situação. “Estamos cooperando em um longo processo investigativo que parece estar progredindo para acusações da SEC contra nossa empresa e diretores. Qualquer ação potencial tornará toda a indústria menos segura, tendo um efeito inibidor na divulgação de incidentes cibernéticos”, disse o porta-voz à Reuters .
Ele acrescentou que o ataque foi “altamente sofisticado e imprevisível”, observando que foi “realizado por uma superpotência global usando novas técnicas em um novo tipo de ameaça que os especialistas em segurança cibernética nunca haviam visto antes”.
A empresa enfrentou uma reação significativa por lidar com o ataque, mas afirmou que seguiu “as melhores práticas estabelecidas há muito tempo para controles cibernéticos e divulgação”.
Veja isso
SolarWinds submete acordo com acionistas à SEC para análise
SolarWinds adota novo modelo de criação de software após ataque
A Reuters informou na sexta-feira passada, 23, que a SEC enviou vários avisos de Wells (notificação formal que a comissão envia a pessoas que enfrentam ações de execução) aos atuais e ex-executivos. Os avisos dão aos suspeitos 30 dias para apresentar recursos argumentando porque eles não devem enfrentar uma ação civil. Os avisos alegam que a empresa violou a lei federal de valores mobiliários por não ter controles internos de segurança cibernética para impedir o ataque, além de sugerir que a empresa enganou o público com seus comentários sobre proteção de segurança cibernética no período que antecedeu o ataque cibernético.
A empresa com sede no Texas pagou US$ 26 milhões aos acionistas no ano passado devido a ações judiciais relacionadas ao escândalo de hacking.