Ataque hacker à SEC envolveria bandidos do Leste Europeu: Fontes

(Bloomberg) -- O ataque hacker ao banco de dados de arquivos corporativos da Comissão de Valores Mobiliários dos EUA provavelmente envolveu criminosos do Leste Europeu que podem ter examinado informações que poderiam mexer com os mercados armazenadas na rede do órgão regulador durante meses, segundo duas pessoas informadas sobre o assunto.

A SEC descobriu, durante uma verificação da manutenção de rotina do sistema Edgar, por quanto tempo os intrusos podem ter tido acesso a segredos corporativos, disse uma das pessoas, que pediu anonimato por falar sobre conclusões não reveladas a respeito do ataque hacker de 2016.

O Edgar é conhecido como um enorme repositório no qual as empresas dispõem diversos tipos de informações para os investidores, desde resultados até vendas de ações de altos executivos. Mas a parte hackeada do banco de dados é praticamente desconhecida e abriga arquivos de testes cuja divulgação nunca foi prevista.

A análise da violação está em andamento e há sinais de que o ataque pode ter sido parte de uma invasão maior voltada a outras agências do governo ou a conjuntos de dados mantidos por empresas privadas, disse a pessoa. O presidente da SEC, Jay Clayton, disse que o órgão regulador está trabalhando com as autoridades competentes e que o incidente foi relatado ao Departamento de Segurança Interna dos EUA.

Chris Carofine, porta-voz de Clayton, preferiu não comentar, e o Departamento de Segurança Nacional encaminhou as perguntas à SEC.

Segurança de dados

A violação envergonhou a SEC e lançou dúvidas sobre sua capacidade de proteger dados que alimentam bilhões de dólares em transações financeiras diárias. E como a agência é responsável por policiar insider trading, há certa ironia na revelação de que criminosos podem ter lucrado com informações roubadas do órgão regulador.

A SEC revelou a violação em setembro, afirmando que os hackers aproveitaram uma fraqueza do software em uma parte do Edgar em que as empresas podem praticar o envio de documentos. A agência informou que essa vulnerabilidade foi rapidamente corrigida, mas que mesmo assim os hackers conseguiram explorá-la para obter informações que não eram públicas.

Os modelos de formulários permitem que as startups se acostumem com o sistema da SEC e também permite que corporações mais estabelecidas assegurem que suas divulgações foram formatadas corretamente. O órgão regulador alertou as empresas a terem cuidado com o que colocam nos anúncios de teste, mas advogados e executivos especialistas em títulos dizem que não é incomum que os arquivos contenham dados confidenciais que poderiam mexer com os preços das ações.

A SEC informou apenas que o ataque hacker ocorreu no ano passado, sem fornecer um histórico preciso, sem explicar como a violação foi descoberta, nem revelar tudo o que fez para tentar conter as consequências.

Os funcionários da SEC perceberam que havia algo errado, disse uma das pessoas, quando o órgão regulador começou a ver indícios de que uma fonte incomum tentava acessar seu sistema de testes Edgar. O motivo particular de preocupação é que as tentativas pareciam vir do Leste Europeu e de fora do firewall da SEC, que monitora e controla o tráfego de rede de entrada, disse a pessoa.