A gigante de processamento de folha de pagamentos, ADP USA, divulgou uma violação de dados que expôs informações fiscais de funcionários de alguns de seus clientes, expondo-os a fraude fiscal e roubo de identidade. A Paterson de 60 anos, uma empresa de New Jersey investigou um acesso não autorizado depois que vários clientes de sua base de clientes apareceram com relatórios de transações fraudulentas feitas através de seu portal de autosserviço da ADP.
A ADP USA é um provedor de serviço contratado que oferece administração de folha de pagamento, impostos e benefícios para sua vasta clientela de mais de 640.000 empresas de todo o mundo. A empresa se descreve como uma pioneira “em definir o futuro das soluções empresariais terceirizadas.” A ADP faz isso aproveitando suas soluções de Gestão de Capital Humano (HCM) em nuvem juntamente com seus incomparáveis “serviços de terceirização de negócios, análises e experiência de conformidade “.
Em seu relatório, o jornalista de cibersegurança Brian Krebs disse que pelo menos uma instituição, o U.S. Bancorp (U.S. Bank), foi diretamente atingido pela violação. O U.S. Bank, um dos bancos comerciais mais consideráveis da América, notificou devidamente seus funcionários afetados pelo roubo de dados fiscais, apontando para um “ponto fraco no portal de cliente da ADP.” Porém, Krebs observou que mais coisas poderiam ser afetadas.
Em um comunicado, a porta-voz do U.S. Bancorp, Dana Ripley mencionou que a vulnerabilidade foi corrigida. Ela acrescentou que 2% dos 64.000 funcionários da empresa parecem ter sido afetados. Em uma carta assinada pela vice-presidente executiva de recursos humanos do U.S. Bank, Jennie Carlston dirigida ao que foi descrito como uma “pequena população” de funcionários da empresa, foi dito que o incidente de segurança está sendo investigado pelo provedor de formulários fiscais da instituição, ADP, desde 29 de abril de 2016. “Durante o curso dessa investigação soubemos que um portal W-2 externo, mantido pela ADP, pode ter sido utilizado por indivíduos não autorizados para acessar seu W-2, que pode ter sido usado para arquivar restituições de impostos fraudulentas em seu nome.”
A carta para as partes afetadas continua dizendo, “o incidente aconteceu porque a ADP ofereceu um portal online externo que foi explorado. Para os indivíduos que nunca tinham usado o portal externo, uma inscrição nunca foi estabelecida. Os criminosos conseguiram se aproveitar dessa situação para usar informações pessoais confidenciais de outras fontes para fazer um registro com seu nome na ADP. Depois do registro fraudulento ter sido feito, eles conseguiram ver ou baixar seu W-2.”
A ADP, por sua vez, observou que certas empresas publicaram seus códigos de registro corporativo da ADP exclusivo em um site não seguro. Os cibercriminosos se aproveitaram das informações disponíveis e as usaram para criar contas ADP falsas. Para se registra no portal, um cibercriminosos com intenções maliciosas precisa de informações pessoalmente identificáveis como nomes, datas de nascimento e números de seguro social. Segundo a ADP, esses dados não foram coletados de seus sistemas, mas já deviam estar nas mãos dos vigaristas.
O diretor sênior de comunicações corporativas da ADP, Dick Wolfe, declarou, “Esses clientes disponibilizaram o código de registro exclusivo para seus funcionários em um site público não seguro. A combinação de um código de registro de empresa não seguro com informações pessoais roubadas (via phishing, malware, etc.) possibilitaram o acesso fraudulento ao portal, baseado nas investigações da ADP até agora”.
Ripley do U.S. Bank então admitiu que o banco deixou o código da empresa acessível ao publicar o link em um recurso para o funcionário online. Isso foi feito sem o conhecimento de que esse código era uma dado privilegiado. Ripley disse, “Nós consideramos o código como um código de identificação, não como um código de autenticação e o postamos em um site para a conveniência de nossos funcionários para que pudessem acessar suas informações no formulário fiscal.” Atualmente, a instituição financeira disse que o código da empresa foi retirado e que eles descontinuaram a prática.
Até a data de hoje, a ADP relatou que a empresa implementou meios para monitorar a web em busca de qualquer outro cliente que possa ter compartilhado seus links de inscrição e códigos exclusivos da empresa. Em uma postagem, o chefe de segurança, Roland Cloutier, garantiu ao restante de sua grande base de clientes, “Nós agora estamos agressivamente incluindo uma inteligência de segurança para tentar procurar esse código e desligando o acesso ao autosserviço de registro se encontramos esse código.”
O relatório da violação chegou pouco mais de uma semana após outra empresa ter relatado ter seus dados de clientes violados de sua base de dados, usando outro provedor terceirizado como porta de entrada para comprometimento. A LuckyPet, um pet shop de Seattle, divulgou uma violação para o escritório do Procurador-Geral do Estado da Califórnia afetando um número não divulgado de vítimas, cujos nomes, endereços e dados de cartão de crédito foram roubados através de uma vulnerabilidade explorada em um software terceirizado de carrinho de compras. Inserindo um código malicioso no software, os hackers conseguiram acessar as informações fornecidas pelos clientes fazendo compras.
Segurança terceirizada
Quando o Uber foi investigado sobre uma possível violação de dados, que levou à venda das contas de usuários hackeadas no submundo criminoso, autoridades da startup de bilhões de dólares garantiram a seus usuários que suas credenciais de cartão de crédito estavam a salvo, assim como os dados armazenados em um provedor terceirizado. Esse mesmo tipo de garantia não ajudou as duas empresas recentemente visadas. De fato, essa não é a primeira vez que fornecedores terceirizados foram usados como um canal para comprometimento. No passado, foi ressaltado que proteger uma grande empresa exige uma abordagem mais holística em termos de manter o mínimo de lacunas de segurança. Especialistas identificaram a importância de manter a segurança das cadeias de suprimento de TI e dos contratados intacta pois representam possíveis pontos fracos na segurança de qualquer empresa.
A violação recém relatada da ADP demonstra a grave repercussão da perda de dados de formulários fiscais para os cibercriminosos. Ladrões de dados são famosos por visar dados W-2 pois esses dados contêm informações pessoais insubstituíveis que podem ser vendidas no submundo ou usadas para montar mais ataques, especialmente de roubo de identidade e fraude financeira.
Em fevereiro, meses antes da temporada de declaração de impostos anual, o IRS emitiu um alerta declarando um aumento de 400% de golpes que tinham como alvo as informações fiscais. Segundo o FBI, de outubro de 2013 a fevereiro de 2016, golpes que usaram diferentes técnicas para roubar tais informações enganaram mais de 17.600 vítimas totalizando $2,3 bilhões de dólares em perdas.
As ações da ADP caíram cerca de 0,7% após o relatório da violação de dados, enquanto as dos seus clientes e parte afetadas caíram 1,3%. Em um comunicado separado, as autoridades da ADP disseram, “A ADP não tem evidências de que os sistemas que abrigam informações de funcionários foram comprometidos. Além disso, a empresa está trabalhando com uma força tarefa federal para identificar os perpetradores da fraude.”