0
0
Uma ação coletiva nacional movida contra a Progress Software após a violação massiva do MOVEit pode apontar para litígios adicionais contra empresas de software cujos aplicativos vulneráveis são explorados em ataques à cadeia de suprimentos em larga escala, diz um especialista jurídico.
A Progress enfrenta acusações de negligência e quebra de contrato, entre outras, em cinco ações judiciais coletivas em todo o país movidas pelo escritório de advocacia de direitos do consumidor Hagens Berman depois que a gangue de ransomware Cl0p explorou uma falha crítica de dia zero em seu aplicativo gerenciado de transferência de arquivos MOVEit.
O ataque afetou organizações multinacionais de alto perfil de milhões e bilhões de dólares – Shell Oil e British Airways entre elas – bem como organizações menores, públicas e privadas, que implantam o MOVEit para trocar dados confidenciais e arquivos grandes, interna e externamente.
Os ambientes que tinham versões vulneráveis do software instaladas expunham informações confidenciais de identificação pessoal (PII) dos clientes, incluindo nomes, números de CPF, datas de nascimento, informações demográficas, números de apólices de seguro e outras informações financeiras.
Hagens Berman afirma que, ao todo, a Progress comprometeu as informações pessoais sensíveis de mais de 40 milhões de pessoas e promete que mais ações coletivas estão a caminho à medida que mais das 600 organizações afetadas se manifestam.
Os processos alegam que a Progress falhou “em proteger e salvaguardar adequadamente as informações de identificação pessoal”, expondo assim os queixosos a “um risco atual e contínuo de roubo de identidade”, bem como invasão de privacidade, custos financeiros, perda de tempo e perda de produtividade, de acordo com a um pedido judicial . Além disso, eles enfrentam um risco contínuo de que suas informações privadas sejam mal utilizadas por criminosos.
Dependendo de como o caso prossiga, isso pode estabelecer um precedente adicional para a responsabilidade dos fornecedores de software se e quando eles falharem em corrigir vulnerabilidades em seus produtos antes que os invasores possam explorá-los e causar dados, perdas financeiras e outras perdas para seus clientes.
“Os casos demonstram que os fornecedores de software precisam ser mais cuidadosos na proteção contra violações”, afirma Sean Matt, um dos parceiros da Hagens Berman no caso. “Mais violações estão ocorrendo e, como resultado, mais casos estão sendo arquivados.”
Precedência para acordos milionários
De fato, há precedência para os demandantes ganharem acordos multimilionários – alguns na casa das centenas de milhões de dólares – quando ataques a softwares vulneráveis resultam em violações de dados confidenciais, diz ele.
“A maioria das ações coletivas como essa é resolvida fora do tribunal porque os fornecedores inteligentes não querem ser arrastados por meses de descoberta e julgamentos públicos”, reconhece Willy Leichter, vice-presidente da empresa de segurança Cyware .
Um desses casos foi a violação de dados da Accellion , na qual a empresa chegou a um acordo de US$ 8,1 milhões relacionado a uma exploração de dia zero que resultou em uma violação de dados que afetou milhões de pessoas, diz Collin Walke, advogado de segurança cibernética e privacidade de dados em Oklahoma City, que anteriormente serviu na Câmara dos Representantes de Oklahoma.
Como outros acordos e os processos do MOVEit, o caso Accelion foi baseado em alegações de negligência, quebra de contrato e invasão de privacidade, entre outras. Além disso, em casos de ransomware como o MOVEit, essas recompensas podem ser potencialmente maiores se a organização vítima optar por pagar o resgate, aumentando assim o custo de suas perdas .
No caso do MOVEit, a Coveware divulgou recentemente uma análise estimando que a violação poderia render à Cl0p até US$ 100 milhões , dinheiro que as empresas podem tentar recuperar por meio de ações legais.
“Isso certamente alerta as empresas de software de que elas estão expostas se seu software for defeituoso”, diz Walke. “Isso seria especialmente verdadeiro se a empresa soubesse das vulnerabilidades e não fizesse nada para detê-las.”
Responsável ou não?
No momento, não está claro se esse é o caso do MOVEit e pelo que exatamente o Progress é responsável, diz Walke. O fornecedor do software corrigiu a falha no centro dos ataques Cl0p em 31 de maio, no mesmo dia em que a falha foi divulgada . No entanto, os processos de ação coletiva afirmam que a vulnerabilidade existia desde 2021.
O cerne do caso, se julgado em tribunal, dependeria se a Progress foi negligente ao não identificar a falha antes de ela ser explorada, como afirma o caso, deixando assim de cumprir diversas responsabilidades para com os clientes.
Segundo os demandantes, essas responsabilidades incluem monitorar e manter salvaguardas básicas da rede; manter políticas adequadas de retenção de dados; treinar pessoal em segurança de dados; cumprir os padrões da indústria de segurança de dados; e criptografar informações privadas dos usuários.
“Se qualquer exploração de dia zero pode constituir ‘negligência’ por falha na captura e correção, então todas as empresas de software do mundo estão expostas”, diz Walke. “Se, no entanto, a negligência exigir notificação da exploração de dia zero e, em seguida, falha em agir, isso restringe o grupo de empresas potencialmente responsáveis apenas para aquelas que notaram a falha e a ignoraram”.
É claro que nada disto importa se a empresa decidir fazer um acordo, o que parece provável, especialmente se os casos continuarem a aumentar.
Um porta-voz do MOVEit diz que a Progress não comenta litígios pendentes. No momento, o foco da empresa “permanece em trabalhar de perto com os clientes para que eles possam tomar as medidas necessárias para fortalecer ainda mais seus ambientes, incluindo a aplicação dos patches que desenvolvemos”, disse o porta-voz.
Efeitos daqui para frente?
Os casos surgem em um momento crucial, à medida que a discussão e a legislação potencial sobre a responsabilidade do fornecedor de software esquentam, e o governo Biden pondera sua resposta. A Estratégia Nacional de Segurança Cibernética , divulgada pela administração Biden em março, reconheceu que, sob o paradigma de responsabilidade atualmente reconhecido, os fornecedores de software raramente são responsabilizados por falhas exploradas em suas soluções.
“Seja sob contrato, responsabilidade pelo produto ou teorias de negligência de direito comum, os fabricantes de software até o momento têm sido quase universalmente bem-sucedidos evitando responsabilidade significativa”, observa Mark Millender, consultor sênior, envolvimento executivo global da Tanium, um fornecedor de gerenciamento de endpoint convergente
A Estratégia Nacional de Segurança Cibernética propõe um esforço conjunto entre o governo, o Congresso e o setor privado para desenvolver uma legislação que estabeleça essa responsabilidade, um processo que levará tempo, mas é necessário, diz ele.
“É fundamental abordar a falta de responsabilidade para conduzir o mercado a produzir produtos e serviços mais seguros, preservando a inovação”, diz Millender.
“O software agora é parte integrante de tantos produtos físicos que a indústria de software não pode reivindicar imunidade especial porque seus produtos são complexos ou difíceis de depurar”, concorda Leichter da Cyware. “Se esse processo for bem-sucedido, provavelmente gerará mais reclamações contra os fornecedores de software, mas esse é o custo inevitável de ter o software rodando o mundo.”
FONTE: DARKREADING