USA/NY: Os computadores de agência que guardam segredos foi violado utilizando apenas uma senha
Os hackers usaram as informações de login de um trabalhador para penetrar na rede do Departamento Jurídico depois que os funcionários não conseguiram implementar uma medida de segurança simples.
O Departamento Jurídico da cidade de Nova York guarda alguns dos segredos mais bem guardados da cidade: evidências de má conduta policial, identidades de crianças acusadas de crimes graves, registros médicos dos reclamantes e dados pessoais de milhares de funcionários da cidade.
Mas tudo o que um hacker levou para se infiltrar na rede da agência de mil advogados no início deste mês foi a senha de e-mail roubada de um trabalhador, de acordo com um funcionário municipal informado sobre o assunto.
As autoridades não disseram como o intruso obteve as credenciais do trabalhador, nem determinaram o escopo do ataque. Mas o hack foi habilitado pela falha do Departamento Jurídico em implementar uma proteção básica, conhecida como autenticação multifator, mais de dois anos depois que a cidade começou a exigi-la, de acordo com quatro pessoas com conhecimento do sistema do órgão jurídico e do incidente.
A intrusão interrompeu os advogados da cidade, interrompeu os procedimentos judiciais e deixou alguns dos assuntos jurídicos do departamento em desordem. E na terça-feira de manhã, em uma teleconferência, o prefeito Bill de Blasio advertiu os chefes das agências municipais a fortalecerem suas defesas cibernéticas ou enfrentar as consequências caso suas agências fossem hackeadas, de acordo com três pessoas que estavam na chamada.
O alerta do prefeito aos chefes da agência ocorre dez dias depois que o Cyber Command da cidade, criado por de Blasio em 2017 para defender as redes de computadores da cidade, detectou atividade incomum no sistema de computadores do Departamento Jurídico.
Na tarde seguinte, 6 de junho, disseram autoridades municipais, eles removeram os computadores do departamento da rede maior da cidade. Muitos permanecem desconectados.
De Blasio, em aparições públicas na semana passada, disse que o hack estava sendo investigado pelo departamento de inteligência do Departamento de Polícia de Nova York e pela força-tarefa cibernética do FBI. Ele disse que as autoridades não estavam cientes de um pedido de resgate ou de qualquer informação comprometida.
As autoridades também disseram que não há evidências de que o ataque tenha danificado os sistemas de computador da cidade, embora a investigação ainda esteja em um estágio inicial. Os investigadores ainda estão tentando determinar a identidade do perpetrador e o motivo.
“Identificamos o malware – já o vimos antes”, disse John Miller, subcomissário para inteligência e contraterrorismo do Departamento de Polícia, em uma entrevista coletiva.
“É alguém procurando informações, exportá-las e depois fazer um ataque de ransomware?” Sr. Miller disse. “É outro tipo de ator que busca reunir informações para outros fins estratégicos?” Ambos eram possibilidades, acrescentou Miller.
Uma porta-voz da Prefeitura e um porta-voz do Departamento Jurídico se recusaram a comentar na quinta-feira.
A autenticação multifator, uma medida familiar para muitos que trabalham em computadores em casa e no escritório, exige que os usuários façam login em contas confidenciais para realizar pelo menos uma etapa adicional para verificar suas identidades, como inserir um código numérico temporário enviado ao celular do usuário.
A ferramenta foi amplamente adotada nos últimos anos, dizem os especialistas em segurança cibernética, à medida que os hackers visam cada vez mais o governo, empresas, hospitais e infraestrutura usando senhas e outras credenciais roubadas. Isso permite que eles penetrem nos sistemas de computador para interromper as operações ou roubar dados, que podem ser usados para exigir um resgate.
A grande maioria dos ataques de ransomware que ocupam vilas, cidades e hospitais americanos foi possível porque os alvos não conseguiram ativar a autenticação multifator, disseram especialistas e autoridades em segurança cibernética. Os hackers exploraram a falta de autenticação multifator para forçar o fechamento do Oleoduto Colonial em maio e na tentativa de envenenar o abastecimento de água em uma pequena cidade da Flórida em fevereiro de 2020, disseram as autoridades.
Hackers diligentes encontraram maneiras de contornar a autenticação multifator no software usado pelo Pentágono e muitas empresas da Fortune 500. Mas especialistas em segurança cibernética dizem que seu uso ainda é uma das maneiras mais simples de reduzir significativamente as chances de um ataque bem-sucedido.
Em um memorando urgente no início deste mês, a Casa Branca instou as organizações americanas a usarem autenticação multifator, além de outras salvaguardas, como backup de dados.
Uma diretiva emitida pelo Cyber Command de Nova York em abril de 2019 exigia que todas as agências da cidade usassem autenticação multifator para acesso a informações restritas ou confidenciais, de acordo com uma cópia do documento obtido pelo The New York Times.
Geoff Brown, chefe do Comando Cibernético e oficial de segurança da informação de Nova York, reconheceu em uma entrevista coletiva na semana passada que a cidade havia emitido tal diretriz, mas se recusou a responder à pergunta sobre se o Departamento Jurídico usava a ferramenta.
“No momento, responder a perguntas sobre a proteção dos sistemas da cidade pode dar ao invasor uma visão” da tecnologia de internet da cidade ou da investigação em andamento, disse Brown.
Os servidores do Departamento Jurídico eram executados em software Microsoft lançado em 2003 , para o qual a empresa parou de fornecer atualizações críticas de segurança em 2015.
A falha na atualização de software torna os sistemas municipais um alvo maduro para hackers, que simplesmente procuram na Internet por software sem patch e o exploram. A estação de tratamento de água da Flórida, hackeada em fevereiro passado, também usou uma versão do Microsoft Windows com uma década que não era atualizada há anos.
Em seu telefonema na terça-feira com chefes de agências da cidade, de Blasio citou autenticação multifatorial e software atualizado como prioridades que precisam ser atendidas imediatamente, de acordo com funcionários que participaram da chamada.
Katharine Rosenfeld, uma advogada que em um caso representou uma mulher grávida que processou a cidade depois de ser algemada durante o trabalho de parto, disse que as falhas na segurança revelaram que o Departamento Jurídico foi “assustadoramente descuidado” no manuseio de informações confidenciais.
“Pense em todos os registros médicos que fornecemos de nossos clientes, tratamento de saúde mental, negociações de acordos”, disse Rosenfeld. “Isso me deixa muito preocupado.”
A desativação do sistema de computador do Departamento Jurídico após o ataque teve um impacto que atingiu os tribunais de Nova York, desacelerando os casos e forçando os advogados da cidade a pedir prorrogações dos prazos.
“Embora o abaixo-assinado tenha recuperado recentemente o acesso remoto ao e-mail”, um advogado da cidade, James Jimenez, escreveu a um juiz federal do Brooklyn na terça-feira em um processo de prisão falsa: “Ainda não consigo acessar remotamente nenhum arquivo ou documento do caso”.
No tribunal federal de Manhattan, o ataque gerou uma disputa em uma série de ações judiciais de alto nível que acusam o Departamento de Polícia de usar força excessiva e fazer prisões em massa injustificadas durante as manifestações em Nova York no ano passado após o assassinato de George Floyd por um policial de Minneapolis Policial.
Os advogados dos demandantes reclamaram que o Departamento Jurídico, citando o hack, se recusou a dizer quando entregará documentos importantes que os advogados dizem que precisam investigar o que eles chamaram de “resposta brutal” da cidade aos protestos em grande escala.
O Departamento Jurídico acusou os advogados dos queixosos de usar o hack para “se envolver em jogos” e de repente decidir que “agora é um bom momento para inundar os réus com uma enxurrada” de novos pedidos de documentos, um advogado da cidade, Dara L. Weiss , escreveu ao tribunal na semana passada.
A Sra. Weiss disse que, apesar dos “desafios tecnológicos”, o hack não interrompeu o andamento do caso.
“O advogado de defesa não tem estado sentado em suas mãos”, acrescentou a Sra. Weiss.