A investigação do inspetor geral, distribuída à liderança dos Correios em julho, culpa os funcionários de TI da agência por não manterem uma série de aplicativos atualizados. Seis das aplicações de TI ficaram na rede do serviço postal por até sete anos, com coisas como certificação incompleta e credenciamento de executivos de tecnologia, de acordo com o memorando do IG .
Uma dúzia de vulnerabilidades foram consideradas “catastróficas” pelo Escritório de Segurança de Informações Corporativas do USPS, o que significa que poderiam ter exposto a agência a grandes danos financeiros. “Essas são vulnerabilidades comuns e conhecidas que estão presentes há três anos e podem ser exploradas por um invasor utilizando métodos disponíveis publicamente”, diz o memorando.
“As vulnerabilidades identificadas neste relatório foram encontradas, analisadas e abordadas pelo Serviço Postal”, disse um porta-voz da agência à CyberScoop. “Estas aplicações estão agora resolvidas.”
Mas antes de serem resolvidos, concluiu o relatório geral do inspetor, os Correios “não avaliou completamente os riscos que estas aplicações vulneráveis representavam”.
Os executivos dos Correios concordaram com as conclusões da auditoria e se comprometeram a melhorar a segurança cibernética da agência. O CyberScoop não encontrou nenhuma evidência de que as vulnerabilidades tenham sido exploradas por hackers.
A Vice News foi a primeira a relatar a auditoria.
Não está claro quais aplicativos de TI o escritório do inspetor-geral estudou. Essa informação é editada no relatório.
Esta não é a primeira vez que o serviço postal tem problemas com a segurança de TI. A agência levou mais de um ano para consertar uma vulnerabilidade em seu site que permitia que qualquer pessoa com uma conta do USPS visse os dados pessoais de 60 milhões de outros usuários, relatou o jornalista Brian Krebs em novembro de 2018. A agência disse que na época não havia indicação de que a vulnerabilidade foi explorada.
Talvez a maior violação confirmada sofrida pelos Correios tenha ocorrido em setembro de 2014, quando hackers se infiltraram nos sistemas de computador da agência e comprometeram dados pessoais de cerca de 800.000 funcionários.
Fonte: https://www.cyberscoop.com/postal-service-inspector-general-cyber-vulnerabilities/
Como o golpe funcionava- O atacante publicou um projeto “parecido com legítimo” no GitHub, usando…
Falha crítica no better-auth permite criar API keys sem autenticação para usuários arbitrários, com risco…
Graphite, spyware ligado à Paragon, volta ao foco com evidências forenses de ataques zero-click a…
Nova campanha SmartLoader manipula a confiança em repositórios e diretórios de MCP para distribuir StealC.…
A CISA incluiu o CVE-2024-7694 no catálogo KEV após confirmação de exploração em ambiente real.…
Relatório da Dragos indica que operadores ligados à China mantiveram acesso persistente a redes de…