A rede de cassinos e hotéis norte-americana Caesars Palace emitiu um informativo na última semana à Comissão de Valores Mobiliários (SEC, em inglês) confirmando terem sofrido um incidente cibernético no último dia 7 de setembro. Este é mais um incidente envolvendo companhias de entretenimento instaladas em Las Vegas.
Devido à um acesso não autorizado, via ataque de engenharia social a um fornecedor de TI mantido pela empresa, os cibercriminosos tiveram acesso a informações como carteira de motorista e códigos de seguro social de clientes cadastrados no programa de fidelidade do Caesars. Apesar disso, a organização ressalta que as propriedades físicas e as operações de jogos não foram afetadas pelo incidente, e funcionam normalmente.
A companhia também informou ter tomado “medidas para garantir que os dados roubados sejam excluídos pelo agente não autorizado, embora não possamos garantir esse resultado”. Segundo especialistas ouvidos pela NBC News, isso indicaria que a corporação procedeu no pagamento de resgate dos dados exigido pelos cibercriminosos, uma atitude veementemente desaconselhada pelas autoridades norte-americanas.
De acordo com apuração do “The Wall Street Journal”, o Caesars teria pagado cerca de US$ 15 milhões para os dados serem excluídos, embora, segundo a reportagem, os hackers tenham exigido o dobro desse valor inicialmente. A hoteleira disse seguir monitorando a Web e, até o momento, não encontrou evidências de compartilhamentos, publicações ou usos indevidos dessas informações.
“Embora nenhuma empresa possa eliminar o risco de um ataque cibernético, acreditamos ter tomado as medidas adequadas, trabalhando com consultores de TI terceirizados líderes do setor, em busca de fortalecer nossos sistemas e nos proteger contra futuros incidentes. Também tomamos medidas para garantir ao fornecedor terceirizado envolvido implementação de medidas corretivas em busca de se proteger contra futuras ameaças aos nossos sistemas”, disse o Caesars Palace no comunicado enviado à SEC.
Entre outras providências tomadas para responder ao incidente estão ações de contenção e correção da Segurança interna dos meios digitais, bem como uma investigação minuciosa, com o apoio das principais empresas de Cibersegurança visando descobrir a extensão do ataque.
“Ainda estamos investigando a extensão de qualquer informação pessoal sensível contida nos arquivos adquiridos pelo agente não autorizado. Até o momento, não temos evidências de que senhas/PINs de membros, informações de contas bancárias ou informações de cartões de pagamento (PCI) tenham sido adquiridas pelo agente não autorizado”, finaliza a nota.
Este é o segundo ciberataque contra redes de entretenimento e hotéis nos EUA. Ainda nessa mesma semana, a MGM Resorts International informou ao mercado que desativou parte de seus sistemas digitais devido a um incidente cibernético. Diversos serviços e atividades da companhia foram impactadas e, segundo reportou a NBC News, as dificuldades teriam se espalhado pelas outras propriedades nos Estados Unidos.
A Security Report publica, na íntegra, nota do Caesars Palace enviada à Comissão de Valores Mobiliários dos Estados Unidos:
“A Caesars Entertainment, Inc. identificou recentemente atividades suspeitas em sua rede de tecnologia da informação resultantes de um ataque de engenharia social a um fornecedor terceirizado de suporte de TI utilizado pela Empresa. Nossas operações voltadas para o cliente, incluindo nossas propriedades físicas e nossos aplicativos de jogos on-line e móveis, não foram afetadas por esse incidente e continuam sem interrupções.
Depois de detectar a atividade suspeita, ativamos rapidamente nossos protocolos de resposta a incidentes e implementamos uma série de medidas de contenção e correção visando reforçar a segurança de nossa rede de tecnologia da informação. Também iniciamos uma investigação, contratamos as principais empresas de segurança cibernética de modo a nos auxiliar e notificamos as autoridades policiais e os órgãos reguladores estaduais de jogos.
Como resultado de nossa investigação, em 7 de setembro de 2023, determinamos que o agente não autorizado adquiriu uma cópia de, entre outros dados, nosso banco de dados do programa de fidelidade, incluindo números de carteira de motorista e/ou números de previdência social de um número significativo de membros do banco de dados. Ainda estamos investigando a extensão de qualquer informação pessoal adicional ou de outra forma sensível contida nos arquivos adquiridos pelo agente não autorizado. Até o momento, não temos evidências de senhas/PINs de membros, informações de contas bancárias ou informações de cartões de pagamento (PCI) adquiridas pelo agente não autorizado.
Tomamos medidas para garantir que os dados roubados sejam excluídos pelo agente não autorizado, embora não possamos garantir esse resultado. Estamos monitorando a Web e não vimos nenhuma evidência de compartilhamentos, publicações ou usos indevidos dessas informações. No entanto, por excesso de cautela, estamos oferecendo serviços de monitoramento de crédito e proteção contra roubo de identidade a todos os membros do nosso programa de fidelidade. Os membros interessados em se inscrever nesses serviços podem contactar o número (888) 652-1580, das 9h às 21h, horário do leste dos EUA, de segunda a sexta-feira, exceto feriados.
Além disso, notificaremos as pessoas afetadas por esse incidente de acordo com nossas obrigações legais. Essas notificações serão feitas em uma base contínua nas próximas semanas. Enquanto isso, as pessoas com dúvidas podem entrar em contato com a linha dedicada de resposta a incidentes estabelecida para responder a perguntas sobre esse incidente. Ela pode ser acessada pelo telefone (888) 652-1580, das 9h às 21h, horário do leste dos EUA, de segunda a sexta-feira, exceto feriados.
Embora nenhuma empresa possa eliminar o risco de um ataque cibernético, acreditamos ter tomado as medidas adequadas, trabalhando com consultores de TI terceirizados líderes do setor, em busca de fortalecer nossos sistemas e nos proteger contra futuros incidentes. Também tomamos medidas para garantir ao fornecedor terceirizado envolvido implementação de medidas corretivas em busca de se proteger contra futuras ameaças aos nossos sistemas.
Incorremos, e podemos continuar a incorrer, em determinadas despesas relacionadas a esse ataque, incluindo despesas na resposta, remediação e investigação do caso. O escopo total dos custos e dos impactos relacionados a esse incidente, incluindo a extensão em que esses custos serão compensados por nosso seguro de segurança cibernética ou possíveis reivindicações de indenização contra terceiros, ainda não foi determinado.
Embora não possamos prever o impacto total desse incidente sobre o comportamento dos hóspedes no futuro, inclusive se uma mudança no comportamento de nossos hóspedes poderia afetar negativamente nossa condição financeira e os resultados das operações de forma contínua, atualmente não esperamos um efeito material sobre a condição financeira e os resultados das operações da Empresa.
A confiança de nossos valiosos hóspedes e membros é muito importante para nós, e lamentamos qualquer preocupação ou inconveniência que isso possa causar.
Para obter informações adicionais, acesse https://response.idx.us/caesars. As informações apresentadas nesse site não estão incorporadas neste documento por referência.”
*Com informações da NBC News e Do The Wall Street Journal
