.
Os recursos humanos, folha de pagamento e empresa de gerenciamento de benefícios Sequoia disse em divulgações aos clientes no início do mês que detectou acesso não autorizado a um repositório de armazenamento em nuvem que continha uma série de dados confidenciais e pessoais relacionados aos clientes Sequoia One da empresa.
A Sequoia notificou seus clientes corporativos e as pessoas físicas cujos dados podem ter sido afetados pela violação, que a empresa diz ter ocorrido entre 22 de setembro e 6 de outubro. A empresa está oferecendo às vítimas três anos de serviços gratuitos de proteção de identidade da Experian. O sistema de nuvem violado da Sequoia armazenou uma série de dados pessoais confidenciais, incluindo nomes, endereços, datas de nascimento, sexo, estado civil, status de emprego, números de previdência social, endereços de e-mail de trabalho, dados salariais relacionados a benefícios e IDs de membros, bem como qualquer outros cartões de identificação, resultados de testes Covid-19 e cartões de vacina que os indivíduos carregaram no sistema de emprego.
“Uma parte não autorizada pode ter acessado um sistema de armazenamento em nuvem que continha informações pessoais”, escreveu a empresa nas divulgações individuais e do cliente. A Strong The One analisou exemplos de ambas as notificações. “Assim que a empresa tomou conhecimento da situação, um plano de resposta foi iniciado e uma série de ações imediatas foram concluídas, incluindo trabalhar com um advogado externo para iniciar uma análise forense pela Dell Secureworks… A revisão forense não encontrou nenhuma evidência de que a parte não autorizada dados mal utilizados ou distribuídos”.
A Sequoia One é uma “organização profissional de empregadores”, ou PEO, que fornece serviços terceirizados de RH e folha de pagamento. A empresa é popular entre as startups porque agiliza o processo de gerenciamento e adjudicação de programas essenciais, como remuneração, benefícios e patrimônio. A Sequoia One é popular entre as startups dos EUA e diz que atualmente trabalha com mais de 500 empresas de capital de risco.
Quando a Strong The One perguntou à Sequoia quantas pessoas tiveram seus dados expostos e estão recebendo serviços gratuitos de proteção de identidade, Kristin Schaeffer, vice-presidente de relações públicas da empresa de comunicações AMF Media Group, se recusou a comentar em nome da empresa. “Neste momento, nosso foco e comunicação são apenas com nossos clientes”, disse ela.
As divulgações dizem que a Dell Secureworks não encontrou malware nos sistemas da Sequoia, não viu evidências de uma tentativa de extorsão de dados, não encontrou nenhum computador ou servidor comprometido na infraestrutura da Sequoia e não viu evidências de acesso não autorizado contínuo aos sistemas da empresa. A Sequoia enfatiza que não detectou nenhum uso ou distribuição dos dados até o momento.
“O acesso não autorizado de informações em um sistema de armazenamento em nuvem ocorreu entre 22 de setembro e 6 de outubro de 2022”, escreveu a empresa. “O acesso foi ‘somente leitura’ e não há evidências de que a parte não autorizada tenha alterado os dados do cliente.”
Ainda assim, é comum que hackers ou mesmo seus sistemas automatizados encontrem e raspem sistemas de armazenamento em nuvem não seguros, e os dados roubados podem levar tempo para aparecer.
“O Sequoia One é muito popular entre as startups; os dois últimos para os quais trabalhei os usaram”, diz o pesquisador de segurança de código aberto Jonathan Leitschuh, que foi notificado esta semana de que seus dados foram comprometidos na violação. “Sinceramente, não fiquei surpreso quando recebi a notificação pelo correio, não por causa do Sequoia especificamente, apenas estou no espaço de segurança há tempo suficiente para saber que é apenas uma questão de tempo.”
Leitschuh observa que, após três anos, o monitoramento gratuito de roubo de identidade terminará, mas seu número de Seguro Social e muitos outros detalhes pessoais permanecerão os mesmos.
“Com terceiros como a Sequoia com os quais outros contratam, o usuário final não pode desistir ou mudar nada sobre o relacionamento se quiser o trabalho”, diz ele. “Mas você não sabe como essas empresas estão defendendo esses dados a longo prazo.”
.
