Um ex-executivo de segurança cibernética da IBM acusou a empresa de ter sido hackeada três vezes na década anterior por governos estrangeiros e depois encobrir as violações.
Em um processo desbloqueado esta semana mas arquivado em 2020, William Barlow, que foi vice-presidente de inteligência de ameaças da IBM até agosto de 2019, disse que a IBM concluiu que hackers chineses violaram sua rede principal entre 2013 e 2016, mas que a empresa então encobriu as violações e nunca as divulgou. Barlow também disse que pelo menos duas subsidiárias da IBM também foram violadas e que a IBM também encobriu essas violações.
Barlow alegou na sua queixa que a rede principal da IBM era “rotineiramente hackeada por atores estatais estrangeiros e outros”, acrescentando que os dados eram frequentemente roubados e as agências governamentais “nunca eram notificadas”.
Embora as alegadas violações remontem a mais de uma década, as notícias mostram que os ataques cibernéticos, mesmo aqueles que afectam grandes empresas públicas de tecnologia como a IBM, por vezes nunca são divulgados, nem ao público nem às autoridades governamentais relevantes. A IBM é um importante fornecedor de segurança cibernética para o governo federal dos EUA, o que torna a alegada ocultação especialmente significativa. Nos últimos anos, várias leis de notificação de violação de dados foram aprovadas para combater este problema.
Bloomberg relatado pela primeira vez sobre o processo.
O porta-voz da IBM, Miki Carver, recusou-se a responder a perguntas específicas sobre o processo e as acusações subjacentes. Em vez disso, Carver disse ao TechCrunch: “Esta queixa foi apresentada há seis anos e o Departamento de Justiça dos EUA recusou-se a intervir. A IBM está confiante de que as nossas ações seguiram a letra da lei”.
Em particular, Barlow disse que a IBM estava entre as várias vítimas de uma campanha de hackers realizada pelo APT 10, um grupo ligado ao governo chinês que o então diretor do FBI, Christopher Wray, disse ter como alvo um ‘Quem é quem‘ da economia global quando seus membros foram indiciados em 2018. Os hackers invadiram a rede da empresa e os dados que ela mantinha lá em parceria com a AT&T.
Barlow alegou que, em março de 2017, funcionários de inteligência da Austrália, Canadá, Nova Zelândia, Estados Unidos e Reino Unido – a chamada aliança Five Eyes – alertaram a IBM sobre a violação, o que levou a uma investigação interna.
De acordo com a denúncia, a investigação concluiu que o APT 10 potencialmente violou a rede da IBM mais de 56 mil vezes entre 2013 e 2016. Crucialmente, a empresa disse que não poderia investigar mais porque não manteve registros de quem acessou sua rede e quando – uma prática básica de segurança.
A IBM supostamente não alertou nenhuma autoridade ou o governo dos EUA, um de seus principais clientes.
“Como a infraestrutura das redes principais da IBM e da AT&T é arcaica, os hackers conseguiram obter acesso ao sistema em inúmeras ocasiões e podem navegar em quase qualquer lugar sem serem detectados”, dizia a reclamação, que explicava que a investigação interna da IBM concluiu que quatro servidores foram comprometidos na campanha de hackers APT 10.
“Os invasores comprometeram e/ou acessaram quase 400 contas comprometidas e quase 200 sistemas e servidores em todas as unidades de negócios da IBM, dezoito países e vários produtos IBM”, disse um relatório interno da IBM sobre a investigação da violação, de acordo com a denúncia.
Jason Brown, advogado que representa Barlow, disse ao TechCrunch que sua empresa está “ansiosa para litigar agressivamente o assunto”.
“Você não pode vender segurança cibernética ao governo federal enquanto supostamente tem esses problemas de segurança dentro de sua própria empresa”, disse Brown.
De acordo com Barlow, outras violações das quais ele tinha conhecimento afetaram a Trusteer, uma startup de segurança cibernética adquirida pela IBM em 2013, que ele diz ter sido violada em 2018; e Truven, uma startup de dados de saúde adquirida pela IBM em 2016, que, segundo ele, foi violada diversas vezes após a aquisição.
Em ambos os casos, Barlow acusou a IBM de não investigar e divulgar adequadamente essas violações.
Quando você compra por meio de links em nossos artigos, podemos ganhar uma pequena comissão. Isso não afeta nossa independência editorial.