.
A Securities and Exchange Commission (SEC) dos EUA processou o escritório de advocacia internacional Covington & Burling para obter detalhes sobre 298 dos clientes do negócio cujas informações foram acessadas por um grupo de hackers patrocinado pelo estado chinês em novembro de 2020.
O roubo de dados em questão é o agora infame ataque ao Microsoft Exchange, no qual Háfnio explorado quatro vulnerabilidades de dia zero na plataforma de e-mail para roubar dados de empreiteiros de defesa, escritórios de advocacia e pesquisadores de doenças infecciosas com sede nos EUA.
Covington foi um dos escritórios de advocacia violados, e a invasão deu aos ciberespiões apoiados por Pequim acesso a alguns dos clientes de Covington que são regulamentados pela agência dos EUA.
“Covington admitiu que um ator estrangeiro acessou intencional e maliciosamente os arquivos dos clientes de Covington, incluindo empresas reguladas pela Comissão”, diz o processo. [PDF]. “À luz dessa violação relatada, a Comissão está tentando determinar se a atividade maliciosa resultou em violações das leis federais de valores mobiliários em detrimento dos investidores”.
O escritório de advocacia, com sede em Washington, DC, é especializado em assuntos regulatórios e de políticas públicas e seus advogados incluem ex-funcionários do governo.
Em março de 2022, a SEC emitiu uma intimação solicitando a Covington que entregasse informações sobre a violação de segurança, incluindo, entre outras coisas, todos os nomes dos clientes afetados e a quantidade de informações que foram acessadas ou roubadas e comunicações entre o escritório de advocacia e os clientes sobre a exfiltração.
Covington cumpriu a maior parte da intimação, mas disse à SEC que não seria capaz de produzir uma lista completa das organizações afetadas dentro do prazo, de acordo com os documentos do tribunal.
A SEC então restringiu sua solicitação apenas aos nomes dos clientes regulamentados pela SEC cujos dados foram “visualizados, copiados, modificados ou exfiltrados durante o ataque a Covington”, bem como comunicações entre essas empresas de capital aberto e seus advogados.
É aqui que as interpretações das duas partes da lei divergem.
Como o Hafnium acessou informações privadas pertencentes a alguns clientes de Covington, incluindo os 298 regulamentados pela SEC, a agência tem um mandato do Congresso para investigar a violação e “determinar se a atividade maliciosa resultou em violações das leis federais de valores mobiliários em detrimento dos investidores”. “, de acordo com o processo.
Covington, sem surpresa, vê as coisas de maneira diferente.
Um porta-voz de Covington chamou o processo da SEC de “tentativa injustificada de se intrometer nas confidências dos clientes e no privilégio advogado-cliente”.
Dois anos atrás, depois de tomar conhecimento da violação de segurança, Covington notificou seus clientes potencialmente afetados e trabalhou com o FBI para apoiar sua investigação, disse o porta-voz Strong The One.
“Mais recentemente, a SEC emitiu uma intimação para Covington relacionada ao incidente e, em resposta, fornecemos prontamente à Comissão informações detalhadas sobre o ataque e nossa cooperação com o FBI”, acrescentou o porta-voz.
“Ao mesmo tempo, deixamos claro para a SEC que não podemos cumprir voluntariamente qualquer tentativa da agência de obter informações confidenciais do cliente, incluindo a identidade dos clientes afetados e as comunicações advogado-cliente. Diante desse cenário, a empresa pretende contestar ação de execução de intimação da SEC.”
Uma carta de junho de 2022 [PDF] à SEC da Gibson Dunn, o escritório de advocacia que representa Covington, ecoa esta declaração e diz que Covington “não tem a opção de cumprir” a intimação entregando comunicações com qualquer um de seus clientes afetados pelo ataque de háfnio porque eles são protegidos pelo privilégio advogado-cliente.
“Covington tem o dever de proteger os nomes dos clientes potencialmente afetados pelo ataque cibernético”, observou.
Em comunicado enviado por e-mail para Strong The OneKevin Rosen, sócio da Gibson Dunn, chamou o processo da SEC de “uma expedição de pesca flagrante que visa os clientes de Covington sem nem mesmo um sinal de delito e tenta coagir a cumplicidade de Covington nesse esforço”.
“Esse amplo ataque ao relacionamento advogado-cliente e às informações confidenciais do cliente ameaça todos os clientes e seus advogados”, disse Rosen. “Covington fará tudo ao seu alcance, conforme a lei exige, para proteger esse relacionamento e essas confidências privilegiadas, opondo-se à intrusão injustificada da SEC aqui.” ®
.
