O “The Guardian” noticiou que a empresa, registada em Londres e com escritórios globais em Nova Iorque, foi vítima de um ataque de cibersegurança que passou despercebido durante meses. O ataque foi detectado em março, mas terá tido início em outubro ou novembro de 2016.
O jornal britânico revela que os "hackers" acederam ao servidor correio eletrónico da companhia, através de uma conta de administrador, que lhes terá dado acesso a todas as áreas.
Os piratas informáticos terão também conseguido acesso a passwords, usernames e informação pessoal de alguns dos grandes clientes da Deloitte, que no ano passado teve atingiu o valor de 31 mil milhões de euros de receitas.
A empresa disponibiliza serviços de auditoria, consultoria e aconselhamento de cibersegurança para alguns dos maiores bancos mundiais e multinacionais. Segundo o “The Guardian”, o ataque foi generalizado mas afectou sobretudo clientes nos EUA.
A auditora confirmou ao jornal que foi vítima de um ataque, mas salienta que impactou apenas um reduzido número de clientes. Dada a sensibilidade do assunto, pelo menos seis clientes destes já foram avisados do incidente.
Apenas os gestores de topo da firma e alguns advogados estavam a par do ataque, que não se sabe se foi apenas de auditoria de uma hacker, que não terá conseguido apagar o rasto das operações que efectuou nos servidores da Deloitte.
Uma equipa da empresa está a investigar caso, com especial enfoque na análise á informação que ficou comprometida. "A investigação em curso permitiu-nos perceber que informação esteve em risco e o que o ‘hacker’ realmente fez, demonstrando que não ocorreu nada de disruptivo no negócio dos nossos clientes e na capacidade de a Deloitte continuar a servir os seus clientes", diz a Deloitte.
Em diversos comentários no Twiiter, vários especialistas apontam que o principal problema para a Deloitte, mais do que nas informações perdidas, poderá estar na revelação dos pormenores que tem guardados sobre as arquitecturas e infraestruturas de segurança dos seus clientes.
O jornal britânico escreve que o servidor de e-mails da Deloitte, quando é acedido através de uma conta de administrador não exigia uma “verificação-dois-passos” (uma forma de autenticar o utilizador através do número de telefone ou outra forma de confirmação de identidade).