Por Eric Auchard
LONDRES(Reuters) - Pelo menos uma dúzia de empresas e órgãos governamentais foram alvos e milhares estão expostos a violações de dados por hackers que exploram falhas antigas de segurança em softwares de gerenciamento, disseram duas firmas de segurança cibernética em estudo publicado na quarta-feira.
O Departamento de Segurança Interna do Reino Unido divulgou um alerta citando o estudo realizado pelas empresas de segurança Digital Shadows e Onapsis, que destaca os riscos impostos a milhares de sistemas empresariais não corrigidos dos fabricantes de software Oracle e SAP.]
Isso pode permitir que hackers roubem segredos corporativos, disseram os pesquisadores.
Os sistemas de duas agências governamentais e empresas dos setores de mídia, energia e finanças foram atingidos após não instalarem correções (patches) ou tomarem outras medidas de segurança recomendadas pela Oracle ou pela SAP, afirmaram a Onapsis e a Digital Shadows no relatório recém-publicado.
O alarme foi acionado porque as companhias armazenam dados altamente confidenciais --incluindo resultados financeiros, segredos de fabricação e números de cartão de crédito-- nos produtos vulneráveis, conhecidos como software de planejamento de recursos empresariais (ERP) e em aplicativos relacionados para gerenciar clientes, funcionários e fornecedores.
Em alerta intitulado "Atividade cibernética maliciosa direcionada a aplicativos de ERP", o Centro Nacional de Integração de Segurança e Cibersegurança do Departamento de Segurança Interna destacou sinais de crescente foco de hackers em aplicativos de ERP, citando o estudo.
"Um invasor pode explorar essas vulnerabilidades para obter acesso a informações confidenciais", disse o NCCIC, um braço da Equipe de Prontidão de Emergência de Computadores dos EUA (US-CERT).
Muitas dessas edições tem uma década ou mais, mas o novo relatório mostra o crescente interesse de ativistas hackers, criminosos e agências de espionagem do governo em tirar proveito desses problemas, disse o presidente-executivo da Onapsis, Mariano Nunez, à Reuters.
"Esses invasores estão prontos para explorar riscos antigos que lhes dão acesso total aos sistemas SAP e Oracle sem serem detectados", afirmou.
Um porta-voz da SAP disse que, em geral, a empresa leva as questões de segurança a sério em toda a organização.
"Nossa recomendação para todos os clientes é implementar os patches de segurança SAP assim que estiverem disponíveis --normalmente na segunda terça-feira de cada mês-- para proteger a infraestrutura SAP contra ataques."
A Oracle não estava imediatamente disponível para comentar.
Ambas as empresas liberam patches regulares para bugs de segurança conhecidos em seus softwares. No entanto, os clientes muitas vezes relutam em fazer correções por medo de que isso possa interromper as atividades.
Os riscos também surgem de erros de instalação ou de movimentos crescentes para vincular sistemas de negócios de back-office tradicionalmente à nuvem, a fim de alcançar usuários móveis ou online.
(Por Eric Auchard)