CEVIU Logo
Voltar

Ericsson US Divulga Violação de Dados Após Hack em Provedor de Serviços

Aprofundamento CEVIU

Aprofundamento

A violação da Ericsson US não foi um ataque direto à infraestrutura da empresa, mas sim o resultado de um vishing, phishing por telefone, contra um escritório de advocacia que gerenciava informações fiscais de funcionários. Entre 17 e 22 de abril de 2025, criminosos enganaram um funcionário do escritório com uma ligação telefônica falsa, obtendo credenciais de acesso. A atividade foi detectada apenas em 28 de abril, e a Ericsson só soube do impacto real em 10 de novembro, quase sete meses depois. A investigação levou até 23 de fevereiro de 2026 para ser concluída, revelando que os dados expostos foram estritamente limitados a informações fiscais de funcionários (como declarações de imposto de renda), sem envolvimento de clientes, dados médicos ou financeiros amplos como inicialmente divulgado.

O atraso na notificação, e a ausência de reivindicação pública, aponta para um padrão crescente em ataques a fornecedores: os invasores evitam chamar atenção ao explorar cadeias de confiança indiretas, muitas vezes deixando as empresas-alvo descobrirem o dano tardiamente, quando já é difícil rastrear o uso dos dados. A Ericsson está oferecendo proteção de identidade via IDX, mas o prazo de inscrição (9 de junho de 2026) exige ação imediata dos afetados, e lembra que monitoramento pós-violação não substitui controles preventivos nas relações com terceiros.

Por que isso importa

Esse caso mostra como um único ponto fraco em um fornecedor, mesmo um escritório de advocacia, não um provedor de TI, pode expor dados sensíveis de uma multinacional. A Ericsson não foi alvo direto, mas pagou o preço pela falta de exigências contratuais robustas de segurança, auditoria de controles de acesso remoto e detecção de comportamento anômalo em parceiros que lidam com dados fiscais. Para empresas brasileiras, o alerta é claro: a LGPD exige due diligence em terceiros, e o novo Marco Legal de Cibersegurança (PL 249/2023) prevê responsabilização solidária em cadeias de fornecimento. Ignorar isso não é economia, é risco regulatório e reputacional calculado.

Linha do tempo

  1. Início do ataque de vishing contra o escritório de advocacia terceirizado

  2. Detecção da atividade suspeita pelo provedor de serviços

  3. Ericsson é notificada sobre o impacto nos dados de funcionários

  4. Conclusão da investigação completa do incidente

  5. Início das notificações às procuradorias-gerais estaduais dos EUA

  6. Divulgação pública da violação pela Ericsson US

Perguntas frequentes

Quais dados reais foram comprometidos na violação da Ericsson US?

Apenas certas informações fiscais de funcionários, como dados de declarações de imposto de renda. Não houve exposição de dados de clientes, informações médicas, números de cartão de crédito ou senhas. A divulgação inicial sobre SSNs e carteiras de motorista foi corrigida posteriormente.

Por que demorou tanto para a Ericsson divulgar a violação?

O ataque ocorreu entre 17 e 22 de abril de 2025, mas a Ericsson só foi informada do impacto em 10 de novembro de 2025. A investigação completa só terminou em 23 de fevereiro de 2026, mais de dez meses após o início do ataque. O atraso reflete falhas na detecção e comunicação entre o provedor terceirizado e a Ericsson.

O que a Ericsson está oferecendo às pessoas afetadas?

Serviços gratuitos de proteção de identidade pela IDX, incluindo monitoramento de crédito, varredura na dark web, assistência em recuperação de identidade e seguro contra fraude de até US$ 1 milhão. O prazo para inscrição vai até 9 de junho de 2026.

Esse tipo de ataque (vishing) é comum em violações corporativas?

Sim. Relatórios da Verizon DBIR 2025 mostram que 37% das violações envolvendo fornecedores começam com engenharia social por voz ou SMS. O vishing é particularmente eficaz contra profissionais não técnicos, como assessores jurídicos, que raramente recebem treinamento específico nessa modalidade de ataque.

Fontes

Avalie este artigo:
Compartilhar:
Categoria
CEVIU Segurança da Informação
Publicado
11 de março de 2026
Editoria
CEVIU Segurança da Informação

Quer receber mais sobre CEVIU Segurança da Informação?

Conteúdo curado diariamente, direto no seu e-mail.

Conteúdo curado diariamenteDiversas categoriasCancele quando quiser