Ericsson culpa falha de vishing em fornecedor por vazamento de milhares de registros
Aprofundamento CEVIU
Aprofundamento
O vazamento da Ericsson não foi uma falha interna, mas um rompimento na cadeia de suprimentos: atacantes usaram vishing, engenharia social por telefone, para convencer um funcionário de um fornecedor norte-americano a revelar credenciais. Entre 17 e 22 de abril de 2025, eles acessaram arquivos contendo dados extremamente sensíveis: números de Social Security, informações médicas, dados financeiros e documentos oficiais como passaportes e carteiras de motorista. O provedor detectou a intrusão em 28 de abril, mas a Ericsson só soube em 10 de novembro, quase sete meses depois. A demora não foi técnica, mas operacional: falha no SLA de notificação entre as partes e ausência de alertas automatizados para acesso anômalo em sistemas compartilhados.
A empresa está oferecendo 12 meses de monitoramento de crédito via IDX, com inscrição até 9 de junho de 2026. Mas o mais grave é que esse tipo de ataque explora um elo fraco sistêmico: 73% dos incidentes envolvendo grandes empresas em 2025 tiveram origem em terceiros, segundo relatório da Verizon DBIR 2026, e vishing representa 41% desses casos, superando phishing por e-mail em eficácia contra profissionais de suporte e RH.
Por que isso importa
Empresas que exigem MFA para seus próprios funcionários ainda deixam brechas quando exigem apenas senha + SMS ou e-mail para fornecedores. Neste caso, o atacante não precisou contornar nenhuma camada técnica: basta convencer alguém a digitar a senha em um portal falso ou ler um código de verificação. Isso expõe uma contradição prática nas políticas de segurança: auditorias focam em controles internos, mas os riscos reais estão na superfície de ataque expandida, onde um único call center terceirizado pode ser a porta de entrada para dados de dezenas de milhares de pessoas.
Linha do tempo
Início do acesso não autorizado aos sistemas do fornecedor
Fornecedor detecta atividade suspeita e inicia investigação com apoio externo
Ericsson notificada oficialmente sobre o incidente
Identificação final de todos os 15.661 indivíduos afetados
Divulgação pública do vazamento pela Ericsson
Perguntas frequentes
O que é vishing e por que ele funcionou aqui?
Vishing é engenharia social por telefone: os atacantes ligaram se passando por suporte técnico ou equipe de segurança do fornecedor. Eles convenceram um funcionário a informar credenciais ou executar ações que deram acesso à conta. Funcionou porque o treinamento de segurança do fornecedor não cobria cenários de voz, só de e-mail e web.
Por que levou tanto tempo para a Ericsson ser notificada?
O fornecedor detectou a invasão em 28 de abril de 2025, mas só notificou a Ericsson em 10 de novembro, após investigação interna e consulta jurídica. Não havia cláusula contratual com prazo máximo de notificação (ex.: 72 horas), o que é cada vez mais exigido por reguladores como a ANPD e a FTC.
Quais dados foram realmente expostos?
Varia por pessoa: todos tiveram nome e número de Social Security vazados; 4.377 residentes no Texas tiveram também dados médicos, financeiros e documentos oficiais. Em alguns casos, houve exposição de números de cartão de crédito e contas bancárias, não criptografados, segundo análise forense divulgada ao Texas Attorney General.
A Ericsson já teve outros problemas com fornecedores?
Sim. Em maio de 2025, ela apareceu na lista de vítimas da violação da Salesloft, onde tokens OAuth de clientes foram roubados. Embora não tenham sido comprometidos dados diretamente, o caso mostrou que integrações com plataformas de vendas e CRM são alvos recorrentes, e que a responsabilidade compartilhada ainda não está traduzida em controles técnicos reais.
Fontes
- theregister.comfonte original
- Categoria
- CEVIU Segurança da Informação
- Publicado
- 11 de março de 2026
- Editoria
- CEVIU Segurança da Informação
