← Home

Ernst & Young sofre violação de dados após ataque a sistema de suporte

1) O fato Ernst & Young (EY), uma das quatro maiores auditorias do mundo, notificou clientes sobre uma violação de dados após o comprometimento de um sistema de tickets de suporte terceirizado usado por sua equipe de TI. O acesso não autorizado ocorreu entre 28 de março e 12 de abril de 2026, e documentos com informações fiscais de clientes foram baixados. A empresa detectou a atividade anômala em 23 de abril. A EY afirma que não há evidências de uso indevido dos dados até o momento.

2) Contexto Com 406 mil funcionários e receita global de US$ 53,2 bilhões, a EY opera em mais de 150 países. O sistema violado continha dados pessoais e financeiros usados na preparação de declarações fiscais de clientes. A notificação de violação enviada aos clientes afirma que a empresa não compartilhou exatamente quantos clientes foram afetados nem se o impacto atinge apenas a base de clientes nos EUA ou outros países. Como mitigação, oferece 24 meses de monitoramento de identidade via Experian e urge os destinatários a se inscreverem até 31 de outubro de 2026. Nenhum grupo de extorsão ou ransomware assumiu a responsabilidade pelo ataque até o momento.

3) Análise O incidente expõe uma fragilidade crítica no ecossistema de segurança das Big Four: a dependência de sistemas terceirizados de suporte com acesso a dados altamente sensíveis. O intervalo de 11 dias entre o fim do acesso não autorizado (12 de abril) e a detecção (23 de abril) revela lacunas de monitoramento significativas. A ausência de reivindicações de extorsão sugere duas possibilidades: os dados podem estar sendo preparados para venda no mercado subterrâneo ou para uso em ataques direcionados futuros, ou os atacantes ainda estão avaliando o material roubado. O fato de a notificação não especificar os tipos exatos de dados expostos — a amostra da notificação continha um placeholder — é profundamente preocupante para os clientes afetados. Para uma empresa que fatura US$ 53 bilhões anuais, a falta de detecção por 11 dias é um indicador de que mesmo organizações com recursos quase ilimitados têm pontos cegos de segurança quando terceirizam sistemas críticos.

4) O que observar • Possível ação regulatória: violações em empresas de auditoria atraem escrutínio da SEC e de órgãos reguladores europeus, especialmente quando envolvem dados fiscais. • Se os dados fiscais expostos incluírem informações de empresas de capital aberto, o impacto reputacional e legal pode ser severo, com potenciais ações coletivas. • O silêncio de grupos de ransomware pode indicar um vazamento silencioso, não uma negociação pública — o que pode ser pior para os afetados. • Outras Big Four (Deloitte, PwC, KPMG) devem rever imediatamente seus próprios fornecedores de suporte terceirizados à luz deste incidente.

Fonte: BleepingComputer