Nach Darstellung von Ernst & Young wurde der Vorfall durch ein kompromittiertes Support-Ticket-System eines Drittanbieters ausgelöst. Die Plattform wurde von IT-Personal des Unternehmens verwendet. Laut EY könnten über dieses System eingereichte Support-Fälle Dokumente umfasst haben, die Steuerinformationen von Kunden enthielten.
In der Benachrichtigung an betroffene Kunden heißt es, EY habe am 23. April anomale Aktivitäten im eigenen Netzwerk entdeckt und anschließend Ermittlungen aufgenommen. Gemeinsam mit externen Cybersicherheitsexperten stellte das Unternehmen fest, dass eine unbefugte dritte Partei zwischen dem 28. März und dem 12. April Zugriff auf die Plattform hatte und mehrere Dokumente herunterlud.
Zu den betroffenen Informationen zählten nach Angaben von EY bestimmte persönliche und finanzielle Daten, die in Steuerunterlagen enthalten waren oder für deren Vorbereitung verwendet wurden. Welche konkreten Datentypen offengelegt wurden, bleibt allerdings unklar. Der Grund: Das vorliegende Muster der Benachrichtigung enthält lediglich einen Platzhalter für die genaue Beschreibung der betroffenen Datenarten.
Offen ist auch das Ausmaß des Vorfalls. EY hat weder genannt, wie viele Kunden benachrichtigt werden müssen, noch ob nur Kunden in den USA betroffen sind oder auch Mandanten in anderen Ländern. Das Unternehmen zählt zu den vier größten Prüfungs- und Beratungsfirmen weltweit und bietet Prüfungs-, Steuer-, Beratungs- und Transaktionsdienstleistungen für große Organisationen in mehr als 150 Ländern an. Nach eigenen Angaben beschäftigt EY 406.000 Mitarbeiter und erzielte im vergangenen Jahr weltweit 53,2 Milliarden US-Dollar Umsatz.
EY teilt mit, die eigenen Systeme abgesichert und die zuständigen Bundes-Strafverfolgungsbehörden informiert zu haben. Außerdem versichert das Unternehmen, dass der unbefugte Zugriff entfernt worden sei. Nach Angaben von EY gibt es bislang weder Hinweise auf einen Missbrauch der entwendeten Dateien noch auf eine weitere Offenlegung der Unterlagen. Ebenso lägen keine Anzeichen dafür vor, dass bestimmte Personen von den Angreifern gezielt ausgesucht wurden.
Zur Risikominderung bietet EY betroffenen Kunden für 24 Monate einen Dienst zur Identitätsüberwachung und Wiederherstellung über Experian an. Empfänger der Schreiben sollen sich dafür bis zum 31. Oktober 2026 anmelden.
Zum Zeitpunkt der Veröffentlichung hatte keine Gruppe aus dem Bereich Datenerpressung oder Ransomware die Verantwortung für den Angriff auf Ernst & Young übernommen. Eine Anfrage von BleepingComputer an EY nach weiteren Details blieb bis zur Veröffentlichung unbeantwortet.
