Ataque ao Twitter

Recentemente, hackers atacaram algumas contas do Twitter. A imprensa destacou o fato de que contas de celebridades tiveram digitadas mensagens solicitando dinheiro. Destaque também para a questão da segurança do Twitter, que permitiu a invasão.

Contabilidade - nos dias alguns políticos usam o Twitter quase como o meio de comunicação oficial. É o caso de Trump e de Bolsonaro. Mas também alguns empresários gostam de disparar mensagens por esta mídia social, sendo Elon Musk o caso mais conhecido (aqui, aqui e aqui tem uma história interessante sobre Musk e seu tweet). Veja que a tomada de uma conta oficial de uma empresa (ou de seu presidente) pode ensejar mensagens apócrifas (falsas), com danos para a empresa. Enquanto uma das principais fontes de informação de uma empresa, este assunto é de interesse da contabilidade, sim.

Equifax

Em setembro de 2017 a empresa de crédito Equifax informou que tinha sofrido um ataque de hacker e os dados de créditos de seus clientes foram copiados. A seguir, a empresa tinha informado que não era possível prever o impacto que o problema traria para seus resultados, em razão dos processos judiciais.

No final da semana passada a empresa informou que somente de 2018 o custo do ataque deve ficar em 275 milhões de dólares, o que faz com que este seja o ataque de hacker mais caro da história. Como a empresa já tinha registrado 164 milhões de dólares no ano passado, o valor total ultrapassa aos 400 milhões; deste valor, 125 milhões estão protegidos por seguros.

Além disto, os custos devem aumentar, já que provavelmente haverá outras punições contra a empresa. No gráfico, o comportamento das ações nos últimos meses.

Ataque cibernético na Deloitte foi muito maior que o anunciado

O jornal inglês The Guardian revelou alguns detalhes importantes sobre o ataque cibernético na Deloitte. E as notícias são ruins para a grande empresa de contabilidade mundial.

Segundo o jornal, o ataque afetou e-mails de 350 clientes (e seis, como a Deloitte tinha anunciado), incluindo agências do governo dos Estados Unidos, Nações Unidas e algumas das maiores empresas mundiais, como quatro bancos globais, três empresas aéreas, dois fabricantes de automóveis e grandes empresas farmacêuticas. Os e-mails trocados com a Fifa também estão nesta lista. Apesar da Deloitte ter anunciado que o ataque tenha começado há um ano, parece que não existe muita certeza sobre isto. A Deloitte afirma que o número de e-mails que sofreram com o ataque corresponde a um pequeno montante do total. Entretanto, os hackers entraram no sistema da emprega através de uma conta de um administrador, que permitia acesso a todo banco de dados de e-mails, incluindo os funcionários e a correspondência com os clientes. Como o ataque dos hackers durou muito tempo, é muito difícil determinar a quantidade de informação que foi acessada externamente.

Mais aqui e aqui

SEC e os hackers

O presidente da SEC, Jay Clayton, esteve no Senado dos Estados Unidos. Originalmente estava programado para falar sobre a reforma do mercado de capitais, mas o assunto foi outro. Clayton falou e foi questionado pelos senadores sobre a invasão de hackers no sistema de divulgação de informações da entidade que regula o mercado de capitais daquele país. Clayton, que foi nomeado pelo atual presidente dos Estados Unidos no início do ano, somente tomou conhecimento do fato em agosto, quando o assunto surgiu numa outra investigação. Segundo Clayton, quando soube do assunto, determinou uma investigação. A partir daí, ainda segundo o presidente da SEC, ficou claro que a invasão pode ter gerado lucro para os hackers. Clayton também declarou não saber se o ex-presidente da SEC, Mary Jo White, sabia do caso.

No final de semana, a SEC divulgou o problema de forma pouco detalhada. A investigação ainda prossegue na SEC para determinar a extensão da invasão e o quanto o problema foi explorado pelos hackers. Esta não seria a primeira vez que hackers invadem o sistema EDGAR: em 2015 foram publicadas informações falsas sobre uma possível aquisição da Avon. E no ano anterior, comprovou-se que alguns usuários tinham acesso a informações 30 segundos antes de estarem disponíveis.

O presidente da SEC também foi questionado sobre a recente invasão numa empresa de crédito dos Estados Unidos, a Equifax. Quando questionado sobre uma possível utilização de executivos de informação confidencial para vender suas ações, o regulador não quis comentar o assunto. O fato de ter acontecido uma invasão na SEC pode ser uma desculpa para as empresas que também sofreram com o mesmo problema, como é o caso da Equifax. E pode fazer com que a SEC seja mais complacente com os problemas de segurança que irão ocorrer nas empresas. Mais ainda, talvez seja necessário rever as normas de insider trading para estas situações.

Ah, Clayton aproveitou para pedir mais dinheiro para SEC.

Resposta da Deloitte

"Em resposta a um incidente cibernético, a Deloitte implementou seu protocolo de segurança abrangente e iniciou uma análise intensiva e completa, incluindo a mobilização de uma equipe de especialistas em segurança e confidencialidade dentro e fora da Deloitte. Como parte da revisão, a Deloitte esteve em contato com os poucos clientes afetados e notificou autoridades governamentais e reguladores ".

Fonte: Aqui. Leia mais aqui e aqui. Imagem: da Deloitte Holandesa

Constrangimentos

Na semana passada e nesta semana tivemos a divulgação de dois ataques de hackers. O primeiro foi contra o regulador do mercado de capitais dos Estados Unidos, a SEC. O segundo teve como alvo a Deloitte.

SEC - O ataque contra os computadores da SEC ocorreu em 2016. O atual presidente da SEC só empossado em maio e ficou sabendo do ataque em agosto. Deverá explicar o que ocorreu com a entidade. Segundo a Reuters, o ataque ocorreu no sistema onde as empresas postam suas informações financeiras, o EDGAR. Parece que as empresas “testam” o EDGAR, antes de colocar as informações; muitas empresas fazem os testes com dados fictícios, mas algumas usam os dados que serão divulgados logo após. Tudo leva a crer que o hackers tiveram acesso a estes dados de “testes”. Também existe a desconfiança que os hackers agiram a partir da Ucrânia.

Deloitte - A empresa de auditoria descobriu o ataque em março deste ano, mas o ataque pode ter ocorrido no final do ano passado. A empresa afirmou que muitos poucos clientes foram afetados. O ataque ocorreu no e-mail da empresa, na conta de administrador, o que permitiria, em tese, acesso a todas as áreas da empresa. Nesta conta existia um senha somente e não ocorria verificação em duas etapas. A empresa não sabe a origem e a autoria do ataque, mas provavelmente ocorreu a partir dos Estados Unidos. O Going Concern não descarta uma vingança contra a empresa: no ano passado foi acusada de manter uma equipe de espionagem para saber o que os concorrentes estavam fazendo.

🔻Constrangimento - Os dois casos causaram constrangimentos. A SEC tem investido contra empresas que possuem falhas de segurança nos sistemas de informação. A Deloitte vende soluções contra os ataques de harckers. Você adotaria uma solução de segurança de uma empresa onde o administrador do sistema não possui um requisito básico de segurança, como é a verificação em duas etapas? E o presidente da SEC, que só foi informado do problema meses depois?

Hackers invadiram a Deloitte

A empresa de auditoria Deloitte descobriu em março que teve seus sistemas hackeados, informou o The Guardian (via aqui). Segundo a informação, os hackers tiveram acesso a mais de cinco milhões de e-mails e documentos da empresa, em todos os setores que opera. Isto inclui bancos, multinacionais, governo, entre outras entidades, clientes da Deloitte.

A empresa de auditoria manteve a notícia em segredo, informando somente alguns clientes, sócios e advogados. A Deloitte ainda não sabe a origem do ataque. Mas contratou, em abril, uma empresa de advocacia para analisar um “possível incidente de segurança cibernética”.

SEC hackeada

O regulador do maior mercado de capitais do mundo, a SEC, afirmou que hackers invadiram sua base de dados. Esta invasão ocorreu em 2016, mas parece que somente agora a SEC descobriu; a entidade também afirmou que talvez os invasores possam ter usado informações privilegiadas para fazer transações no mercado de ações.

A base de dados da SEC, conhecida como EDGAR, possui informações públicas e também informações que não são divulgadas. A SEC afirma que corrigiu o problema no ano passado, mas somente agora verificou que a ação dos hackers pode ter conduzido ao uso das informações nas negociações.

Segundo informou a Reuters, um relatório do Congresso afirmou que nem sempre a SEC criptografava as informações confidenciais.

Equifax

A Equifax é uma agência de crédito ao consumidor dos Estados Unidos. Ontem a empresa anunciou que foi alvo de um ataque cibernético que envolveu 143 milhões de clientes dos Estados Unidos. O problema foi descoberto no dia 29 de julho. Pelas notícias, os hackers tiveram acesso aos nomes dos clientes, número do Social Security (uma espécie de carteira de identidade), data de nascimento, endereço e, em alguns casos, o número da licença de motorista. Para alguns clientes, vazaram também as informações dos cartões de créditos. Estima-se que 209 mil clientes foram afetados. Não se sabe se o PIN destes cartões foram revelados.

O problema ficou maior já que a empresa não explicou o atraso em revelar o ataque. E a razão de três executivos da empresa terem vendido ações após o ataque e antes do incidente ser de conhecimento público.

Links

O fator de impacto na pesquisa contábil

NY Times faz um editorial sobre a PwC e sua reputação

... e um auditor da BDO fez espionagem para o FBI

E a KPMG está sendo investigada em Portugal por conta do BES Angola

... e a KPMG sabia das inspeções do PCAOB com antecedência?

Mas demitiu seis funcionários por esta razão (mais aqui)

Como hackers sequestraram um banco brasileiro

E a Toshiba pode vender sua unidade de chip

Falha num software da PwC pode permitir alteração na contabilidade

Uma falha crítica em uma ferramenta de segurança construída para sistemas SAP pela PricewaterhouseCoopers pode permitir que hackers manipulem dados contábeis e financeiros dos clientes, uma pesquisa recente afirmou.

Conforme a notícia, publicada no IB Times, o problema pode permitir que um invasor altere a contabilidade. Apesar de não afirmar que a falha já foi explorada, o problema poderia manipular, por exemplo, o pagamento de recursos humanos. A PwC negou a falha e disse que o código não está na versão atual disponibilizada para os clientes. Inicialmente a empresa de auditoria não respondeu a investigação, mas depois encaminhou uma carta através dos seus advogados.

Desapareceram 81 milhões de dólares do Banco Central de Bangladesh

Atiur Rahman (foto) renunciou ao cargo que ocupava no Banco Central de Bangladesh, informou o El País. A razão foi um estranho saque ocorrido na conta do banco existe no Federal Reserve de Nova Iorque. No início de fevereiro, um grupo de hackers infiltrou no sistema do Banco Central e transferiu dinheiro para vários casinos da Filipinas.

O roubo foi descoberto somente dias depois por um jornal. O Federal Reserve e a empresa de mensagens financeiras Swift informaram que não ocorreu nenhum problema nos seus sistemas e que as transferências foram feitas com base nos procedimentos habituais.

A perda só não foi maior em razão de um erro de digitação de uma das ordens transferência, que interrompeu a transação. Do total que sumiu da conta do Banco Central, 30 milhões de dólares foram entregues em dinheiro vivo em Manila, Filipinas.

Além disto, o banco central não informou o governo do ocorrido, que soube pela imprensa.

P.S. Segundo o Estadão, os hackers escreveram errado a palavra "foundation" (digitaram "fandation").

Links

Qual a linguagem de programação você deveria aprender? Phyton

Quem está "seguro" e quem está "inseguro" no futuro da contabilidade

Japão deverá vencer o campeonato mundial de futebol... de robô

Livro para colorir representa mais de 17% dos livros vendidos no Brasil

Um hacker pode controlar seu automóvel (imagem)

Venceu o campeonato de Scrabble  na França e não sabe falar francês

SEC procurando hackers

U.S. securities regulators are investigating a group of hackers suspected of breaking into corporate email accounts to steal information to trade on, such as confidential details about mergers, according to people familiar with the matter.

The Securities and Exchange Commission has asked at least eight listed companies to provide details of their data breaches, one of the people said. The unusual move by the agency reflects increasing concerns about cyber attacks on U.S. companies and government agencies.

It is an "absolute first" for the SEC to approach companies about possible breaches in connection with an insider trading probe, said John Reed Stark, a former head of Internet enforcement at the SEC.

"The SEC is interested because failures in cybersecurity have prompted a dangerous, new method of unlawful insider trading," said Stark, now a private cybersecurity consultant.

According to people familiar with the matter, the SEC's inquiry and a parallel probe by the U.S. Secret Service - which investigates cyber crimes and financial fraud - were spurred by a December report by security company FireEye Inc about a sophisticated hacking group that it dubbed "FIN4."

Since mid-2013, FIN4 has tried to hack into email accounts at more than 100 companies, looking for confidential information on mergers and other market-moving events. The targets include more than 60 listed companies in biotechnology and other healthcare-related fields, such as medical instruments, hospital equipment and drugs, according to the FireEye report.

[...]

The SEC has asked companies for data on cyber intrusions or attempted intrusions, as well as information on the tactics that the unknown hackers used to lure employees into giving up email passwords, known as "spear phishing" or "credential harvesting," [...]

Stark said he saw some of the SEC's requests for documents from companies, but he was not familiar with the scope of the investigation. He and other sources declined to name the targeted companies because of client relationships and because the SEC investigation is confidential. [...]

Milpitas, California-based FireEye said it believed the FIN4 hackers could be from the United States or Europe because they had flawless English and a deep understanding of how the financial markets and investment banking work.

The hackers targeted healthcare and pharmaceutical companies because their stocks tend to be volatile, and thus potentially more profitable. In one case, the hackers had sought information about Medicaid rebates and government purchasing decisions, FireEye said.

FireEye's clients were among the companies targeted by the hackers, who used fake Microsoft Outlook login pages to trick attorneys, executives and consultants into surrendering their user names and passwords.

"What was insidiously brilliant was that they could inject themselves into email threads and keep gleaning information," said FireEye's manager of threat intelligence, Laura Galante. "They really knew their audience."

In at least one case, FireEye said, the hackers used a confidential document, containing significant information that they had already procured, to entice people discussing that matter into giving their email credentials.

[...]

Until now, the SEC has only brought a handful of civil cases against hackers.

In 2007, the agency filed civil charges against a Ukrainian trader named Oleksandr Dorozhko whom they accused of hacking into IMS Health and stealing information on earnings that he used to make profitable options trades. In 2010, a federal court ordered Dorozhko to pay $580,000.

Leia mais: aqui

Bradesco e Anonymous

Os hackers brasileiros do grupo Anonymous voltaram a atacar sites de bancos brasileiros na manhã de hoje. Desta vez, o alvo foi o portal do Bradesco que, segundo o twitter dos invasores, ficou por cerca de duas horas fora do ar. "Alvo atingido! O site do Bradesco está à deriva! BradescOff", comemoraram os hackers no Twitter.

Por volta das 12 horas, o portal já havia sido restabelecido. O banco não confirma o ataque. Em comunicado à imprensa, a assessoria do Bradesco justifica que o "site apresentou momentos de intermitência com volume de acessos acima da média, mas não chegou a ficar fora do ar". (Fonte: Isto é Dinheiro)


Até as 11:30 as ações do Bradesco (BBDC4.SA) estavam cotadas a 32,40 reais. Neste horário caiu para 31,6 reais e fechou a 31,40. (fonte Yahoo Finanças).

Criminosos virtuais faturam US$ 150 bilhões

Os criminosos virtuais do mundo todo faturaram US$ 150 bilhões com dados roubados de pessoas físicas e de empresas em 2010. O cálculo é do Ponemon Institute, que presta consultoria em segurança da informação. O valor é 40% do PIB da Argentina no ano passado e o quádruplo do uruguaio. E equivale a 16 vezes a quantia girada pelo comércio eletrônico brasileiro no período.Os ganhos dos chamados hackers "black hat", que invadem sistemas para cometer crimes, são obtidos de várias formas.Por exemplo, por meio do roubo de senhas e números de cartões de crédito de usuários da web desavisados que colocam informações desse tipo em computadores, celulares ou tablets.

Mas dados corporativos confidenciais, e valiosos no mercado, também estão cada vez mais na mira, indica a reportagem de Camila Fusco e Carolina Matos. Especialistas consideram que a ação dos cibercriminosos tem se tornado cada vez mais apurada para chegar direto ao ponto: informações que rendam dinheiro.“Podem ser resultados financeiros ainda não publicados de uma determinada companhia”, diz André Carraretto, gerente de engenharia de sistema da Symantec, empresa de segurança da informação.

Os criminosos estão lucrando com a venda de serviços, como o “kit invasão”. São softwares feitos sob demanda para que outros criminosos possam realizar os ataques”, diz Abelardo Moraes Filho, diretor da consultoria Coresec e que também atua como hacker ético.

Figuram nos fóruns de discussão, atualmente, táticas de invasão a novos sistemas, como tablets e smartphones.“Os executivos acessam, de seus smartphones, dados importantes das companhias sem se dar conta de que se trata de computadores e sem as devidas providências de segurança”, diz Michael DeCesare, da McAfee.Estima-se que, no mundo, 58,9 milhões de tablets serão vendidos em 2011 e 25% deles serão comprados pelo setor corporativo.

Fonte: Folha de São Paulo

Rir é o melhor remédio

Fonte: aqui

Ataque ao Citi

FBI investiga ataque cibernético ao Citigroup
Brasil Econômico - Por Dan Wilchins/Reuters - 22/12/09

O FBI está investigando um suposto ataque de hackers ao Citigroup que teria resultado no roubo de dezenas de milhões de dólares, informou o Wall Street Journal, citando fontes do governo americano.

O Citigroup negou a informação, assegurando que seus clientes não perderam nenhum dinheiro. "Não houve violação e não houve perdas associadas", afirmou o banco em comunicado.

"De vez em quando, como ocorre em praticamente toda instituição financeira, há situações de fraude de violações de sistemas alheios que nos levam a tomar ação para proteger nossos clientes e ao Citi", acrescentou o banco.

O alvo do suposto ataque, que teria ligações com uma gangue russa, seria o Citibank, unidade do Citigroup, informou o jornal, acrescentando que ainda é incerto se os hackers conseguiram acessar os sistemas do banco diretamente ou através de terceiros.

Duas outras entidades, incluindo uma agência do governo americano, também foram atacadas pelos hackers, de acordo com o Wall Street Journal, citando fontes com conhecimento do incidente com o Citibank.

O porta-voz do FBI, Richard Kolko, não quis comentar o assunto, afirmando ser política da agência não confirmar nem negar a existência de investigações.

Acredita-se que o ataque ao Citibank tenha ocorrido no meio do ano e havia sido detectado na época, mas investigadores suspeitam que pode ter acontecido até um ano antes, informou o jornal.

Links

1. Gastou $250 mil para mudar o slogan para "Welcome to Scotland"

2. Fotos interessantes de esportes

3. O preço da globalização - Inclui sobre o PCC

4. Baniram a Wikipedia da escola

5. É possível hackear a máquina de votação dos EUA

Hacker é risco de Cliente

Decisões mostram que risco de hacker é do cliente do banco


O cliente de um grande banco acessa sua conta pelo seu computador pessoal e identifica uma transferência de R$ 50 mil não autorizada por ele. O banco se exime da responsabilidade, alegando que a transferência foi feita com o uso do login e senha do cliente, e o caso vai parar na Justiça. Pela jurisprudência do Judiciário brasileiro, cabe ao banco provar que o cliente fez a transferência, certo? Errado. A tendência dos juízes hoje tem sido a de, diante da prova feita pelo banco de que seu sistema de segurança é eficiente, exigir que o próprio cliente comprove que utilizou todas as medidas de segurança possíveis - como a atualização de antivírus - para evitar a ocorrência de fraudes virtuais em sua máquina pessoal. Se o acesso for feito de um cibercafé, por exemplo, a chance de o cliente perder a ação é grande.

De acordo com o advogado especialista em direito digital Renato Opice Blum, presidente do conselho de comércio eletrônico da Fecomercio, trata-se de uma nova interpretação do Código de Defesa do Consumidor que vem ganhando espaço nos Tribunais de Justiça (TJs) - há decisões no Paraná, no Distrito Federal e no Maranhão - e no próprio Superior Tribunal de Justiça (STJ). Segundo a recente jurisprudência, os bancos não podem fazer prova negativa contra eles. Em outros tribunais, ainda persiste o entendimento tradicional de que o cliente é parte hipossuficiente na relação com o banco e que, por isso, cabe a este último o ônus da prova - como estabelece o Código do Consumidor.

No caso descrito acima, o juiz de primeira instância da Justiça paulista determinou uma perícia no sistema de segurança do banco e concluiu que não havia prova de negligência da instituição - negando a indenização ao cliente, que está recorrendo da decisão no TJSP.

O caso é um exemplo da jurisprudência que vem sendo formada pelos diferentes níveis da Justiça brasileira com relação a temas que envolvem a internet. Segundo uma pesquisa feita pelo conselho de comércio eletrônico da Fecomercio, há hoje 3.214 decisões judiciais de tribunais superiores que tratam de assuntos relacionados à internet no país - incluindo o STJ, o Supremo Tribunal Federal (STF) e o Tribunal Superior do Trabalho (TST). Nos TJs, as decisões já somam 5.146, e nos Tribunais Regionais Federais (TRFs), são 716. A pesquisa foi realizada com a busca da palavra-chave "internet" nos tribunais em que há decisões disponíveis na própria rede - todos os TRFs, os superiores e 21 TJs.

Segundo a opinião de especialistas em direito digital, os temas mais recorrentes no Judiciário são os relacionados a fraudes virtuais, comércio eletrônico, uso indevido de imagens, calúnia, injúria e difamação e concorrência desleal - como a divulgação pela internet de dados confidenciais de empresas. Em todos eles, há divergência de decisões judiciais. Os casos envolvendo comércio eletrônico são dos mais recorrentes. Nas ações, a discussão principal é se a responsabilidade pela indenização do cliente que comprou um produto não recebeu, por exemplo, atinge também o portal que intermediou o negócio, além da empresa que vendeu. O advogado André de Almeida, sócio do escritório Almeida Advogados e coordenador do comitê jurídico da Câmara Brasileira de Comércio Eletrônico, defende um portal que agencia serviços para empresas e que freqüentemente é acionado na Justiça em ações que pedem sua responsabilização por falhas nos serviços adquiridos. "Há decisões o condenando e decisões o inocentando", diz.

A jurisprudência que vem sendo formada pelos tribunais brasileiros é importante pela ausência de legislação que regule os temas da internet hoje. Embora existam cerca de 150 projetos de lei que tratam da rede em tramitação no Congresso Nacional hoje, poucas são as legislações já existentes ou adaptadas para o mundo virtual. Sem legislação, os juízes, ao se depararem com esses temas, acabam julgando de forma divergente nas diversas regiões do país. "As decisões são conflitantes porque quando há um vazio na legislação a Justiça usa de interpretações por analogia, o que é muito subjetivo, cria divergências e provoca insegurança jurídica", diz André de Almeida.

As decisões são divergentes também porque há questões complicadas a serem analisadas pelos juízes no que se refere à internet. Tome-se como exemplo um caso de furto de dados. "A doutrina define furto quando, para subtrair algo, é preciso tornar algo indisponível", diz a advogada especialista em direito digital Patrícia Peck, do escritório Patrícia Peck Pinheiro Advogados. Mas, no caso de furto de bancos de dados de empresas, não é o que acontece. "Na internet se leva mas deixa", afirma. Segundo ela, em casos de roubo de informações virtuais às vezes há dificuldades em se configurar o furto perante a Justiça.

FONTE: VALOR ONLINE - 04/10/2006

Grato Caio Tibúrcio