Exempleados afirman que Kaseya conocía los fallos críticos pero los ignoró

Cinco exempleados habrían advertido ya en 2017 sobre los fallos críticos, pero la gerencia no adoptó medidas, dando prioridad a las ventas.

La información fue revelada el sábado por Bloomberg. Los empleados afirmaron haber reportado a los líderes de la empresa, entre 2017 y 2020, problemas de ciberseguridad de amplio alcance, pero que éstos no fueron abordados cabalmente.

Entre los problemas más graves figura software con código obsoleto, el uso de cifrado y contraseñas débiles a través de los productos y servidores de la compañía, la falta de adhesión a las prácticas básicas de ciberseguridad, como parchear regularmente el software, y su enfoque en las ventas por encima de otras prioridades.

Consultada por Bloomberg, Kaseya se negó a comentar la información, aduciendo tener una política de “no comentar asuntos relacionados con el personal” o, en este caso particular, con el hackero ya que hay una investigación criminal en curso.

La semana pasada se reveló que Kaseya había sido informada en abril, de una vulnerabilidad explotada en un ataque de ransomware por REvil.

Dado que los ex empleados ahora dicen que Kaseya puede haber ignorado intencionalmente las vulnerabilidades de seguridad conocidas y practicado una escasa seguridad cibernética en general, eso aumenta la posibilidad de que Kaseya pueda enfrentarse a una acción legal, tanto por los usuarios de Kaseya VSA como por los reguladores.

Si se descubre que Kaseya ha infringido el Reglamento General de Protección de Datos de la UE, la multa podría ser considerable. Cuántos de sus clientes tuvieron acceso a los datos es la pregunta en relación con una posible multa. Aunque no está claro el tamaño exacto de cuántos clientes de Kaseya VSA aguas abajo se han visto afectados, las estimaciones son de hasta 1.500.




Newsletter

Contacto | Diario TI es una publicación de MPA Publishing International Ltd.