Hackers acessaram dados autênticos usados por empresas em teste de sistema da SEC

Por Sarah N. Lynch e Joseph Menn

WASHINGTON/SAN FRANCISCO (Reuters) - Hackers violaram o sistema de computação do órgão regulador de valores mobiliários dos Estados Unidos no ano passado e se aproveitaram de empresas que usaram dados financeiros autênticos quando testaram o sistema de arquivamento corporativo da agência, segundo pessoas familiarizadas com o assunto.

O FBI e o Serviço Secreto dos EUA lançaram uma investigação sobre um ataque cibernético em 2016 contra o sistema EDGAR da SEC, disseram várias dessas fontes, que pediram anonimato porque o processo não é público.

O sistema EDGAR, da SEC, é uma rede crucial usada pelas empresas para registrar relatórios de resultados financeiros e outras informações relevantes.

O porta-voz do FBI, o Serviço Secreto e a SEC não quiseram comentar, dizendo que não podiam confirmar nem negar a existência de uma investigação.

A violação ocorreu em outubro de 2016 e foi detectada no mesmo mês. O ataque parece ter sido conduzido através de um servidor na Europa Oriental, conforme memorando interno do governo descrevendo o incidente visto pela Reuters.

Não havia evidências no momento de que os dados tivessem sido acessados indevidamente, de acordo com uma fonte familiarizada com o assunto, e a questão foi tratada internamente pelo Escritório de Tecnologia da Informação da SEC.

Só depois que a Divisão de Execução da SEC detectou um padrão de negociação suspeito antes das divulgações públicas da empresa que as autoridades perguntaram à equipe de tecnologia da agência se algumas empresas estavam usando dados autênticos quando testavam o sistema EDGAR, disse uma das pessoas.

A fonte informou que "não muitas empresas" apresentaram dados reais, que podem ter sido violados.

O processo de teste "é para que as pessoas enviem arquivos de testes para garantir que formatem corretamente e não tenham erros de submissão", disse a pessoa.

"Eles normalmente usam isso antes de arquivarem seus relatórios normais. Eles deveriam usar dados falsos", afirmou a fonte. "No entanto, isso ainda deve ser protegido da mesma maneira, caso eles façam algo errado. Algumas empresas fizeram, e os arquivos não foram protegidos adequadamente".

(Por Sarah N. Lynch e Joseph Menn)