A Yahoo informou que o ataque de 2013 afetou todas as suas aproximadamente 3 bilhões de contas, e não apenas o universo menor divulgado anteriormente.12 A notícia veio depois da venda de ativos centrais da empresa para a Verizon e reforça uma lição que o mercado de tecnologia não pode mais ignorar: segurança cibernética é tema central em fusões e aquisições.

O caso não se resume ao vazamento. Ele envolve revisão de escopo, qualidade da investigação, governança de disclosure e impacto econômico. Quando a extensão de um incidente muda depois da transação, o comprador herda riscos técnicos, jurídicos, reputacionais e operacionais que talvez não estivessem precificados corretamente.

Due diligence precisa olhar para incidentes passados

Em M&A, é comum avaliar receita, churn, contratos, propriedade intelectual, passivos trabalhistas e dependência de clientes. Em empresas digitais, isso é insuficiente. A due diligence precisa examinar histórico de incidentes, logs preservados, investigações forenses, programas de bug bounty, gestão de identidades, criptografia, backups, retenção de dados e processos de notificação.

O problema é que incidentes antigos nem sempre estão encerrados. Uma invasão pode ter deixado credenciais expostas, chaves não rotacionadas, dados replicados, sistemas sem evidência ou obrigações regulatórias pendentes. O fato de o ataque ter ocorrido em 2013 não reduz automaticamente seu peso.

Escopo é uma variável de negócio

O salto para 3 bilhões de contas mostra como a definição de escopo altera a leitura de risco. Um incidente pode começar como evento técnico e virar contingência financeira. Pode afetar negociação de preço, garantias contratuais, seguros, indenizações e obrigações futuras.

Quem pretende comprar, vender ou captar investimento precisa documentar segurança antes da transação. Não basta afirmar que a empresa "leva privacidade a sério". É necessário apresentar evidência: políticas, auditorias, relatórios de vulnerabilidade, matriz de acesso, inventário de dados e histórico de resposta.

A maturidade aparece na revisão

Também há uma dimensão importante: a capacidade de revisar uma conclusão. Investigações de incidentes podem evoluir conforme novos dados aparecem. O ponto crítico é ter governança para atualizar acionistas, clientes, reguladores e parceiros sem improviso.

Empresas maduras mantêm trilhas de decisão. Quem aprovou a comunicação? Quais hipóteses foram consideradas? Que evidência sustenta o número de contas afetadas? Quais medidas foram tomadas para reduzir dano? Sem esse registro, a organização fica vulnerável a acusações de negligência ou ocultação, mesmo quando a investigação técnica é complexa.

O caso Yahoo deixa claro que o comprador de uma empresa digital também compra sua história de segurança. Bancos de dados, contas antigas, sistemas antigos e decisões de comunicação fazem parte do ativo. Na mesa de negociação, isso deixa de ser detalhe jurídico e passa a ser cláusula material de negócio.

  1. Reuters, cobertura sobre a revisão para 3 bilhões de contas: https://www.reuters.com/article/us-yahoo-cyber-idUSKCN1C82O1
  2. Registro judicial citando a divulgação de outubro de 2017: https://www.govinfo.gov/content/pkg/USCOURTS-cand-5_16-md-02752/pdf/USCOURTS-cand-5_16-md-02752-4.pdf