Por Michelle Price
WASHINGTON (Reuters) - O principal regulador dos mercados dos EUA informou na quarta-feira que hackers acessaram seu banco de dados de divulgação corporativa e podem ter lucrado ilegalmente ao negociar com informações privilegiadas roubadas.
A Securities and Exchange Commission (SEC) disse que o ataque ocorreu em 2016, mas que descobriu apenas no mês passado que os criminosos virtuais podem ter usado informações para fazer negócios ilícitos.
Os hackers exploraram uma falha de software no componente de teste do sistema para obter acesso a informações que não são públicas, de acordo com a agência.
A SEC possui grandes volumes de informações sensíveis e confidenciais que podem ser usadas em negociações privilegiadas ou para manipular os mercados acionários norte-americanos. Sua base de dados EDGAR abriga milhões de documentos sobre divulgações corporativas que vão desde resultados trimestrais até declarações sobre fusões e aquisições.
Embora a SEC tenha corrigido "prontamente" a vulnerabilidade depois de detectá-la em 2016, o regulador só percebeu no mês passado que a falha "pode ter fornecido a base para o lucro ilícito por meio de negociações", afirmou.
"Acredita-se que a intrusão não resultou em acesso não autorizado a informações de identificação pessoal, no comprometimento das operações da Comissão ou resultou em risco sistêmico", informou a SEC, acrescentando que também estava tratando do assunto com outras autoridades, sem nomeá-las.
O incidente ocorre apenas algumas semanas depois que a Equifax Inc (NYSE:EFX), uma importante agência de avaliação de crédito de consumidores dos EUA, revelou que hackers roubaram dados de mais de 143 milhões de clientes, ressaltando a ameaça que os criminosos cibernéticos representam para a integridade dos mercados financeiros.
Também levanta questões sobre se havia pontos fracos dentro da SEC, uma instituição encarregada de proteger os investidores e os mercados financeiros, que permitiram o acesso de hackers.
Em julho, meses após a detecção da violação, um órgão de vigilância do Congresso alertou que o regulador de Wall Street estava correndo "risco desnecessário de ser comprometido" por deficiências em seus sistemas de informação.
O relatório de 27 páginas do Government Accountability Office descobriu que a SEC nem sempre criptografava totalmente as informações confidenciais, que usava software sem apoio técnico, que não conseguiu implementar completamente um sistema de detecção de intrusão e cometeu erros ao configurar seus firewalls, entre outras coisas.
Os cibercriminosos já atacaram os centros de informação financeira antes - a bolsa de valores de Hong Kong e a bolsa de valores Nasdaq, em Nova York, foram alvo de hackers em 2011.
Mas a violação na SEC é particularmente escandalosa porque seu novo chefe, Jay Clayton, deu prioridade ao combate de crime cibernético em seu mandato.
Ele também coloca o foco na agência porque a violação de 2016 não foi divulgada mais cedo. As regras do setor de valores mobiliários exigem que as empresas divulguem violações cibernéticas aos investidores e a SEC já investigou empresas para averiguar se elas deveriam ter relatado incidentes mais cedo.