Ernst & Young paljastaa tietomurron kyberhyökkäyksen jälkeen sen jälkeen, kun yrityksen IT-henkilöstön käyttämä kolmannen osapuolen tukipyyntöjärjestelmä vaarantui. Yrityksen mukaan tukipyynnöt ovat saattaneet sisältää asiakirjoja, jotka sisältävät arkaluonteisia henkilötietoja ja verotukseen liittyviä asiakastietoja.
EY:n mukaan alustan kautta lähetetyt tukipyynnöt ovat saattaneet sisältää asiakirjoja, joissa on arkaluonteiset asiakastiedot, mukaan lukien verotukseen liittyvät tiedot.
EY on yksi maailman neljästä suurimmasta tilintarkastus- ja konsulttiyrityksestä ja tarjoaa tilintarkastus-, vero-, neuvonta- ja transaktiopalveluita organisaatioille yli 150 maassa. Yrityksellä on noin 406 000 työntekijää. ja raportoitu maailmanlaajuinen myynti 53,2 miljardia dollaria viime tilikauden aikana.
Asiakkaille osoitetussa viestissä EY toteaa, että yhtiö havaitsi epäilyttävää toimintaa verkoissaan 23. huhtikuuta ja käynnisti välittömästi sisäisen tutkinnan.
Ulkopuolisten kyberturvallisuusasiantuntijoiden tuella EY että luvattomalla toimijalla oli pääsy asiaankuuluvaan tukijärjestelmään 28. maaliskuuta ja 12. huhtikuuta välisenä aikana. Tänä aikana alustalta ladattiin useita asiakirjoja.
Paljastettuihin tietoihin kuuluvat: EY:n mukaan tietyt henkilö- ja taloustiedot, jotka sisältyivät veroilmoituksiin tai joita käytettiin niiden laatimisessa. Yhtiö ei kuitenkaan ole tarkalleen määritellyt, mihin tietotyyppeihin tämä vaikutti, joten paljastuneiden tietojen laajuus on epäselvä.
EY ei ole myöskään kertonut, kuinka moneen asiakkaaseen tilanne on vaikuttanut tai vaikuttaako se vain Yhdysvaltojen toimintoihin vai myös asiakkaisiin muissa maissa.
Yhtiön mukaan järjestelmät on nyt suojattu ja luvaton pääsy niihin on estetty. Tapauksesta on ilmoitettu myös Yhdysvaltojen liittovaltion lainvalvontaviranomaisille.
EY toteaa lisäksi, ettei tällä hetkellä ole viitteitä siitä, että varastettuja tietoja olisi käytetty väärin tai levitetty. Yhtiö sanoo myös, ettei se näe merkkejä siitä, että hyökkäyksen kohteena olisi ollut erityisesti yksilöitä.
Varotoimenpiteenä EY tarjoaa Experianin kautta 24 kuukauden henkilöllisyyden valvonta- ja palautuspalveluita asiakkaille, joille on ilmoitettu tapauksesta. Asiakkaita, joille on ilmoitettu tapauksesta, kehotetaan rekisteröitymään 31. lokakuuta 2026 mennessä.
Julkaisuhetkellä yksikään kiristysohjelma- tai datan kiristysryhmä ei ole ottanut vastuuta hyökkäyksestä Ernst & Young.
Tapaus osoittaa, kuinka jopa globaalit yritykset pitävät Ernst & Young voi vaikuttaa, kun kolmannen osapuolen palveluntarjoajat vaarantuvat. Samalla tapaus korostaa tukialustojen ja arkaluonteisten asiakastietojen suojaamisen tärkeyttä yhä kehittyneemmiltä kyberuhilta.








