Volvo confirma ao mercado violação de dados do RH

Um incidente cibernético de grande porte atingiu a empresa sueca Miljödata, provedora do software de recursos humanos do Volvo Group, comprometendo dados sensíveis de funcionários e paralisando serviços essenciais. O vazamento já foi incluído na base de dados do HaveIBeenPwned, com cerca de 870 mil registros. O ataque, classificado como “sofisticado”, criptografou sistemas críticos, interrompendo as operações de gestão de RH. O grupo informou a ocorrência ao mercado.
Leia também
Volvo pode ser nova vítima do ransomware Snatch
Crimes envolvendo criptomoeda somam US$ 14 bilhões em 2021

A violação só foi detectada em 23 de agosto, quando alertas de tráfego de rede irregular impulsionaram a equipe de cibersegurança da Miljödata a iniciar uma investigação. Em 2 de setembro, a análise forense confirmou que agentes maliciosos haviam exfiltrado arquivos contendo identificadores pessoais básicos de colaboradores das operações do Volvo Group na América do Norte. Apesar de a infraestrutura de TI própria do Volvo Group ter permanecido intacta, a intrusão no ambiente de terceiros levantou sérias preocupações sobre a segurança de fornecedores externos.

As descobertas preliminares indicam que os atacantes tiveram acesso a nomes e números de Segurança Social de funcionários afetados. Nenhuma informação financeira, como contas bancárias ou detalhes de folha de pagamento, nem registros de seguro, foram comprometidos. No entanto, a exposição dos números de Segurança Social representa um risco significativo de roubo de identidade e atividades fraudulentas.

Em resposta ao incidente, a Miljödata notificou imediatamente o Volvo Group e ativou seus protocolos de resposta a incidentes. Especialistas externos em cibersegurança foram contratados para conduzir uma revisão forense abrangente, fortalecer os controles de criptografia e reforçar a segmentação da rede dentro do ambiente hospedado do fornecedor. As equipes de Serviços de Pessoas e TI do Volvo Group iniciaram uma revisão interna dos procedimentos de gestão de fornecedores, com foco no aprimoramento do monitoramento da postura de segurança de terceiros e dos requisitos contratuais para notificação de violações.