EUA: Serviço postal deixa aplicativos vulneráveis por anos, segundo o inspetor geral
Funcionários do serviço postal dos Estados Unidos deixaram vários aplicativos vulneráveis definharem na rede de TI da agência por anos – falhas que poderiam ter sido exploradas por hackers para roubar dados confidenciais, descobriu um inspetor de auditoria geral.
A investigação do inspetor geral, distribuída à liderança dos Correios em julho, culpa os funcionários de TI da agência por não manterem uma série de aplicativos atualizados. Seis das aplicações de TI ficaram na rede do serviço postal por até sete anos, com coisas como certificação incompleta e credenciamento de executivos de tecnologia, de acordo com o memorando do IG .
Uma dúzia de vulnerabilidades foram consideradas “catastróficas” pelo Escritório de Segurança de Informações Corporativas do USPS, o que significa que poderiam ter exposto a agência a grandes danos financeiros. “Essas são vulnerabilidades comuns e conhecidas que estão presentes há três anos e podem ser exploradas por um invasor utilizando métodos disponíveis publicamente”, diz o memorando.
“As vulnerabilidades identificadas neste relatório foram encontradas, analisadas e abordadas pelo Serviço Postal”, disse um porta-voz da agência à CyberScoop. “Estas aplicações estão agora resolvidas.”
Mas antes de serem resolvidos, concluiu o relatório geral do inspetor, os Correios “não avaliou completamente os riscos que estas aplicações vulneráveis representavam”.
Os executivos dos Correios concordaram com as conclusões da auditoria e se comprometeram a melhorar a segurança cibernética da agência. O CyberScoop não encontrou nenhuma evidência de que as vulnerabilidades tenham sido exploradas por hackers.
A Vice News foi a primeira a relatar a auditoria.
Não está claro quais aplicativos de TI o escritório do inspetor-geral estudou. Essa informação é editada no relatório.
Esta não é a primeira vez que o serviço postal tem problemas com a segurança de TI. A agência levou mais de um ano para consertar uma vulnerabilidade em seu site que permitia que qualquer pessoa com uma conta do USPS visse os dados pessoais de 60 milhões de outros usuários, relatou o jornalista Brian Krebs em novembro de 2018. A agência disse que na época não havia indicação de que a vulnerabilidade foi explorada.
Talvez a maior violação confirmada sofrida pelos Correios tenha ocorrido em setembro de 2014, quando hackers se infiltraram nos sistemas de computador da agência e comprometeram dados pessoais de cerca de 800.000 funcionários.
Fonte: https://www.cyberscoop.com/postal-service-inspector-general-cyber-vulnerabilities/