PwC tentou impedir divulgação de bug.

A PwC mandou notificações extrajudiciais para uma empresa de segurança alemã, visando evitar a divulgação de uma falha de segurança em um software da companhia que poderia permitir acessos não autorizados a sistemas SAP.

De acordo com o ZDnet, a ESNC descobriu uma “falha crítica” em um software de segurança da PwC que permitiria que um invasor tivesse acesso aos sistemas de gestão da SAP, podendo manipular documentos de contabilidade sem ser ser limitado por sistemas de gerenciamento de mudança ou de restrição de acesso e com a possibilidade de abrir um “backdoor”.

Como é praxe na indústria de segurança, a ESCN procurou a PwC em agosto para discutir o tamanho da falha. A partir desse contato, os pesquisadores dariam três meses para a PwC corrigir a falha antes de fazer uma divulgação.

A PwC, no entanto, enviou uma notificação extrajudicial para a ESNC, intimando a ESNC a não divulgar a descoberta, sob pena de enfrentar consequências judiciais. 

Os pesquisadores retornaram dizendo que fariam a divulgação em três meses, recebendo depois disso uma segunda notificação.  A ESCN, que já divulgou 100 vulnerabilidades de segurança, divulgou o bug mesmo assim.

Em seu site, a companhia informa trabalhar com tecnologia SAP e ser "trusted by" emmpresas como SAP, Novartis, Volkswagen, KPMG, Daimler e TechData.

Procurada pelo ZDnet, a PwC argumentou que a ESNC não deveria ter tido acesso ao seu software, uma vez que não era um parceiro licenciado e que o produto não é disponível publicamente, só estando disponível para clientes com licenças. 

A PwC disse ainda que o código defeituoso não está incluído na última versão do software. 

“O relatório descreve um cenário hipotético e improvável. Não sabemos de nenhuma situação na qual ele tenha se materializado”, comenta a PwC em nota enviada para o ZDNet.

Seja qual for a verdadeira gravidade do bug, é um problema para a PwC, que é junto com as demais Big Four, um dos grandes parceiros de implantação de tecnologia SAP no mundo.