בכיר לשעבר באבטחת מידע בחברת IBM האשים את החברה בכך שנפרצה שלוש פעמים בעשור הקודם על ידי ממשלות זרות ולאחר מכן טייחה את הפריצות. בתביעה שהותרה לפרסום השבוע אך הוגשה כבר ב- 2020, טוען וויליאם בארלו, ששימש כסגן נשיא למודיעין איומים ב- IBM עד אוגוסט 2019, כי IBM הגיעה למסקנה שהאקרים סינים פרצו לרשת הליבה שלה בין 2013 ל- 2016. למרות זאת, החברה טייחה את הפריצות ומעולם לא דיווחה עליהן. בארלו ציין גם שלפחות שתי חברות-בת של IBM נפרצו וכי IBM טייחה גם את הפריצות הללו.
לדברי בארלו, פריצות נוספות שהוא היה מודע אליהן פגעו ב- Trusteer – חברת סטארט-אפ ישראלית בתחום אבטחת המידע שנרכשה על ידי IBM ב- 2013, שלטענתו נפרצה ב -2018; וכמו כן ב- Truven – חברת סטארט-אפ לנתוני בריאות ש- IBM רכשה ב- 2016, שלדבריו נפרצה מספר פעמים לאחר הרכישה. בשני המקרים, בארלו האשים את IBM בכך שלא חקרה כראוי ולא דיווחה על פריצות המידע. בארלו טען בתביעה כי רשת הליבה של IBM נפרצה בשגרה על ידי האקרים בחסות מדינות עוינות והוסיף כי נתונים נגנבו לעיתים קרובות, אולם סוכנויות ממשלתיות מעולם לא קיבלו דיווח על כך.
בעוד שהפריצות לכאורה התרחשו לפני למעלה מעשור, מתקפות סייבר – אפילו כאלו הפוגעות בחברות טכנולוגיה ציבוריות ענקיות כמו IBM – לעיתים אינן נחשפות לעולם, לא לציבור ולא לרשויות הממשלתיות הרלוונטיות. נזכיר כי IBM היא ספקית אבטחת מידע מרכזית של הממשל הפדרלי בארה"ב – עובדה ההופכת את ההסתרה לכאורה למשמעותית במיוחד. בשנים האחרונות הועברו בארה"ב מספר חוקים המחייבים דיווח על פריצות נתונים, במטרה להילחם בבעיה זו.
דוברת IBM – מיקי קרבר, סירבה להשיב לשאלות ספציפיות על התביעה וההאשמות שבבסיסה. במקום זאת, מסרה קרבר לאנשי אתר TechCrunch: "תביעה זו הוגשה לפני שש שנים ומשרד המשפטים של ארה"ב סירב להתערב בה. IBM בטוחה שפעולותינו נעשו בהתאם לחוק."
באופן ספציפי, ציין בארלו כי IBM הייתה בין מספר קורבנות של מתקפות סייבר אשר בוצעו על ידי APT 10 – קבוצת האקרים הפועלת בחסות ממשלת סין. מנהל ה- FBI דאז – כריסטופר ריי, אמר עם הגשת כתבי האישום נגד חבריה ב- 2018 כי הקבוצה שמה לה למטרה את ה"מי ומי" של הכלכלה העולמית. ההאקרים הללו פרצו הן לרשת של IBM והן לנתונים שהיא החזיקה שם בשיתוף פעולה עם AT&T. בארלו טוען כי במרץ 2017, גורמי מודיעין מאוסטרליה, קנדה, ניו זילנד, ארה"ב ובריטניה — ברית המודיעין הידועה כ- "חמש העיניים" (Five Eyes) — הזהירו את IBM מפני הפריצה, אזהרה שהובילה לפתיחת חקירה פנימית בחברה. על פי התביעה, החקירה העלתה כי קבוצת APT 10 פרצה ככל הנראה לרשת של IBM למעלה מ- 56,000 פעמים בין 2013 ל- 2016. IBM ציינה כי אינה יכולה לחקור זאת לעומק מכיוון שלא שמרה יומני רישום (לוגים) של מי שניגש לרשת המחשוב שלה ומתי — כשל של נוהל אבטחה בסיסי לחלוטין.
נטען כי IBM כשלה לאחר מכן לדווח על כך לרשויות כלשהן או לממשלת ארה"ב, שהיא אחת מלקוחותיה המרכזיים. "מכיוון שהתשתית של רשתות הליבה של IBM ו- AT&T היא מיושנת, הצליחו האקרים להשיג גישה למערכות המחשוב במספר רב של הזדמנויות ויכלו לשוטט בה כמעט בכל מקום ללא הפרעה", נכתב בתביעה. עוד הוסבר בה כי החקירה הפנימית של IBM הסיקה שארבעה שרתים נפרצו במסגרת מתקפת הסייבר. "ההאקרים פרצו ו/או השיגו גישה לכמעט 400 חשבונות פרוצים ולכמעט 200 מערכות ושרתים בכל אחת מהיחידות העסקיות של IBM ב- 18 מדינות ובמספר מוצרים של IBM". כך נכתב על פי התביעה בדו"ח פנימי של החברה על חקירת הפריצה.
ג'ייסון בראון – עורך דין המייצג את בארלו, אמר לאתר TechCrunch כי משרדו מצפה לנהל התדיינות משפטית אגרסיבית בנושא: "אתה לא יכול למכור שירותי אבטחת מידע לממשל הפדרלי כשבמקביל יש לך לכאורה בעיות אבטחה כאלו בתוך החברה שלך", אמר בראון.
