MGM reconhece oficialmente ataque cibernético e espera prejuízo de US$ 100 milhões

A gigante dos cassinos MGM Resorts International reconheceu oficialmente um ciberataque que afetou suas operações nos Estados Unidos, revelando que prevê uma perda de fluxo de caixa de US$ 100 milhões (cerca de R$ 516 milhões na cotação atual) resultante do incidente de nove dias. O reconhecimento formal ocorre quase um mês após a ocorrência dos ataques.

"Por volta de 29 de setembro, a MGM Resorts detectou que um terceiro não autorizado obteve informações pessoais de alguns de seus clientes em 11 de setembro de 2023", disse a empresa em um comunicado, acrescentando que uma investigação está em andamento.

"As informações afetadas incluíam nome, informações de contato (como número de telefone, e-mail e endereço), sexo, data de nascimento e número da carteira de motorista.  Para uma quantidade menor de clientes, o número do seguro social e/ou o número do passaporte também foram afetados", disse.

Em pronunciamento na Comissão de Valores Mobiliários dos Estados Unidos (conhecida, em inglês, pela sigla SEC) e em carta endereçada aos clientes, o CEO da MGM, Bill Hornbuckle, lamentou a situação. Ele também expressou gratidão aos funcionários da empresa por sua resiliência durante o período em que o ataque cibernético interrompeu as operações, afetando vários serviços, como o aplicativo MGM, pagamentos de máquinas caça-níqueis e e-mail da empresa, afirmou o veículo Las Vegas Review-Journal.

As medidas que a empresa tomou para lidar com a situação incluem a oferta de serviços gratuitos de proteção de identidade e monitoramento de crédito para indivíduos cujas informações possam ter sido comprometidas. Foi criada também uma central de atendimento telefônico exclusiva para contato com os clientes.

Impacto financeiro

Espera-se que o ataque cibernético cause um impacto negativo nos resultados financeiros do terceiro trimestre da MGM. No entanto, o quarto trimestre, especialmente para as operações de Las Vegas, deverá sofrer um impacto mínimo. A expectativa é que a empresa divulgue suas informações sobre os lucros do terceiro trimestre no final de outubro ou início de novembro.

Com isso, a MGM não prevê um efeito significativo em sua condição financeira geral e nos resultados das operações de todo o ano.

"Especificamente, a empresa estima um impacto negativo do problema de segurança cibernética em setembro de aproximadamente US$ 100 milhões no EBITDAR (lucro antes de juros, impostos, depreciação, amortização e custos de reestruturação ou aluguel) para os resorts da Las Vegas Strip e operações regionais, coletivamente", disse o documento da companhia.

A razão por trás do otimismo da MGM sobre sua estabilidade financeira a longo prazo é a expectativa de um quarto trimestre forte, em parte atribuída à proximidade com os eventos do Grande Prêmio (GP)  de Fórmula 1 de Las Vegas, entre 16 e 18 de novembro deste ano.

"A empresa acredita que está bem posicionada para ter um quarto trimestre forte, com resultados recordes esperados em novembro, impulsionados principalmente pela Fórmula 1. A empresa prevê ainda que a ocupação será de 93% em outubro (em comparação com 94% no período do ano anterior) e que se recuperará totalmente em novembro nos resorts da Las Vegas Strip".

Conforme relatado na SEC, a MGM teve menos de US$ 10 milhões (cerca de R$ 51 milhões, na cotação atual) em despesas durante o terceiro trimestre em resposta ao ataque cibernético. Essas despesas incluíram serviços de consultoria em tecnologia, honorários advocatícios e honorários de outros consultores terceirizados.

De acordo com a Reuters, David Bradbury, diretor de segurança da empresa de gerenciamento de identidade Okta, revelou que cinco dos clientes da empresa, incluindo a MGM e a Caesars Entertainment, foram vítimas de grupos de hackers identificados como ALPHV e Scattered Spider desde agosto.

A Caesars já havia confirmado oficialmente que sofreu uma violação que pode ter levado à exposição de informações confidenciais, incluindo algumas do banco de dados de seu programa de fidelidade. O Wall Street Journal informou que a empresa pagou aproximadamente metade de um resgate de US$ 30 milhões (cerca de R$ 154 milhões) exigido pelos hackers.