Nova York – Um processo judicial tornado público nesta semana afirma que a IBM sofreu pelo menos três grandes violações de segurança entre 2013 e 2019 e optou por mantê-las em sigilo. A denúncia é de William Barlow, ex-vice-presidente de inteligência de ameaças da companhia, que trabalhou na empresa até agosto de 2019.
No documento, protocolado em 2020, Barlow alega que a rede central da IBM foi invadida repetidamente por hackers ligados ao governo chinês entre 2013 e 2016. Segundo ele, a investigação interna concluiu que o grupo APT 10 penetrou a infraestrutura da empresa em mais de 56 mil ocasiões nesse período, mas nenhuma autoridade ou cliente foi notificada.
De acordo com o ex-executivo, o alerta sobre a invasão partiu, em março de 2017, de integrantes da aliança de inteligência Five Eyes (Austrália, Canadá, Estados Unidos, Nova Zelândia e Reino Unido). A partir daí, a IBM teria identificado a presença dos invasores em quatro servidores, cerca de 400 contas comprometidas e quase 200 sistemas espalhados por 18 países e por todos os setores de negócios da companhia.
Barlow sustenta que a falta de registros de acesso – prática básica de segurança – impediu uma apuração completa e facilitou novas ações dos atacantes. Ele também afirma que duas subsidiárias adquiridas pela IBM foram violadas: a Trusteer, comprada em 2013 e atacada em 2018, e a Truven, incorporada em 2016 e alvo de múltiplos incidentes posteriores.
Advogado de Barlow, Jason Brown declarou que pretende “litigar o caso de forma agressiva”, ressaltando que a IBM vende serviços de cibersegurança ao governo norte-americano enquanto, supostamente, enfrenta falhas internas graves.
Imagem: Getty
Procurada, a porta-voz da IBM, Miki Carver, não comentou as acusações específicas. Em nota, limitou-se a dizer que “a queixa foi apresentada há seis anos e o Departamento de Justiça optou por não intervir. A IBM está confiante de que suas ações seguiram rigorosamente a lei”.
O processo, inicialmente divulgado pela Bloomberg, reforça preocupações sobre a ausência de transparência em incidentes cibernéticos que afetam grandes empresas de tecnologia, mesmo após a criação de leis que obrigam a notificação de violações de dados.
Com informações de TechCrunch
