A Ernst & Young (EY), uma das quatro maiores empresas de auditoria e serviços profissionais do mundo, notificou seus clientes sobre uma violação de dados resultante da comprometimento de um sistema de suporte de terceiros utilizado por sua equipe de TI. A empresa informou que os tickets de suporte submetidos através dessa plataforma podem ter incluído documentos com informações fiscais de clientes. A violação foi detectada em 23 de abril, após a EY observar atividades anômalas em suas redes. Uma investigação revelou que um terceiro não autorizado acessou a plataforma entre 28 de março e 12 de abril, baixando múltiplos documentos que continham dados pessoais e financeiros. Embora a EY tenha assegurado que o acesso não autorizado foi removido e que não há indícios de uso indevido das informações, a empresa não divulgou quantos clientes foram afetados nem se a violação impactou apenas sua base de clientes nos EUA. Para mitigar os riscos, a EY está oferecendo 24 meses de monitoramento de identidade e serviços de restauração através da Experian. Até o momento, nenhum grupo de extorsão de dados ou ransomware reivindicou a responsabilidade pelo ataque.
Fonte: https://www.bleepingcomputer.com/news/security/ernst-and-young-discloses-data-breach-after-support-system-hack/
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
17/07/2026 • Risco: ALTO
VAZAMENTO
Ernst & Young notifica clientes sobre violação de dados
RESUMO EXECUTIVO
A violação de dados da EY destaca a vulnerabilidade de sistemas de suporte de terceiros e a necessidade de monitoramento rigoroso. A exposição de informações fiscais pode ter consequências legais e financeiras significativas para os clientes afetados.
💼 IMPACTO DE NEGÓCIO
Financeiro
Possíveis custos associados a ações legais e perda de confiança dos clientes.
Operacional
Exposição de dados pessoais e financeiros de clientes
Setores vulneráveis
['Setor financeiro', 'Setor de consultoria', 'Setor de tecnologia']
📊 INDICADORES CHAVE
406.000 funcionários na EY
Indicador
$53,2 bilhões de receita global no último ano
Contexto BR
24 meses de monitoramento de identidade oferecidos
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar se há uso de sistemas de suporte de terceiros e suas configurações de segurança.
2
Implementar medidas de segurança adicionais para proteger dados sensíveis.
3
Monitorar continuamente atividades anômalas em sistemas de suporte e redes.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a segurança de dados sensíveis, especialmente em relação a terceiros que gerenciam informações críticas. A violação pode impactar a conformidade com a LGPD.
⚖️ COMPLIANCE
Implicações legais e de compliance com a LGPD, especialmente em relação à proteção de dados pessoais.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).