A investigação do inspetor geral, distribuída à liderança dos Correios em julho, culpa os funcionários de TI da agência por não manterem uma série de aplicativos atualizados. Seis das aplicações de TI ficaram na rede do serviço postal por até sete anos, com coisas como certificação incompleta e credenciamento de executivos de tecnologia, de acordo com o memorando do IG .
Uma dúzia de vulnerabilidades foram consideradas “catastróficas” pelo Escritório de Segurança de Informações Corporativas do USPS, o que significa que poderiam ter exposto a agência a grandes danos financeiros. “Essas são vulnerabilidades comuns e conhecidas que estão presentes há três anos e podem ser exploradas por um invasor utilizando métodos disponíveis publicamente”, diz o memorando.
“As vulnerabilidades identificadas neste relatório foram encontradas, analisadas e abordadas pelo Serviço Postal”, disse um porta-voz da agência à CyberScoop. “Estas aplicações estão agora resolvidas.”
Mas antes de serem resolvidos, concluiu o relatório geral do inspetor, os Correios “não avaliou completamente os riscos que estas aplicações vulneráveis representavam”.
Os executivos dos Correios concordaram com as conclusões da auditoria e se comprometeram a melhorar a segurança cibernética da agência. O CyberScoop não encontrou nenhuma evidência de que as vulnerabilidades tenham sido exploradas por hackers.
A Vice News foi a primeira a relatar a auditoria.
Não está claro quais aplicativos de TI o escritório do inspetor-geral estudou. Essa informação é editada no relatório.
Esta não é a primeira vez que o serviço postal tem problemas com a segurança de TI. A agência levou mais de um ano para consertar uma vulnerabilidade em seu site que permitia que qualquer pessoa com uma conta do USPS visse os dados pessoais de 60 milhões de outros usuários, relatou o jornalista Brian Krebs em novembro de 2018. A agência disse que na época não havia indicação de que a vulnerabilidade foi explorada.
Talvez a maior violação confirmada sofrida pelos Correios tenha ocorrido em setembro de 2014, quando hackers se infiltraram nos sistemas de computador da agência e comprometeram dados pessoais de cerca de 800.000 funcionários.
Fonte: https://www.cyberscoop.com/postal-service-inspector-general-cyber-vulnerabilities/
Falha permite que invasores manipulem o agente de um usuário por meio de um problema…
Um exploit de dia zero, dirigido aos firewalls FortiGate da Fortinet, foi descoberto à venda…
A família SHELBY mostra um exemplo preocupante de malware moderno com design modular, sofisticado e…
Hackers estão explorando o diretório mu-plugins do WordPress para injetar códigos maliciosos que não aparecem…
O Google implementou uma nova funcionalidade de "Detecção de Golpes" com inteligência artificial no aplicativo…
O grupo APT28, ligado à Rússia, está utilizando técnicas avançadas de ofuscação em seus ataques…