Departamento de Defesa do Estados Unidos vulnerável! O Departamento de Defesa dos EUA avisou nesta ultima semana, que uma violação de dados expôs registros de viagem para pelo menos 30.000 funcionários, militares e civis.

Em 4 de outubro, o Departamento de Defesa identificou uma violação de informações pessoalmente identificáveis ​​do pessoal do Departamento de Defesa (DoD) que exige notificação do Congresso“, disse o tenente-coronel Joseph Buccino, porta-voz do Pentágono, ao Information Security Media Group.

O departamento continua a coletar informações adicionais sobre o incidente, que envolve o potencial comprometimento de informações pessoalmente identificáveis ​​do pessoal do DoD mantido por um único fornecedor comercial que forneceu serviços de gerenciamento de viagens ao departamento“, diz ele. “Esse fornecedor estava realizando uma pequena porcentagem dos serviços gerais de gerenciamento de viagens do DoD“.

A violação, que parece ter afetado 30 mil militares e civis, mas este número ainda pode crescer, resultou na violação de algumas informações pessoais e dados de cartões de pagamento, informou a Associated Press (AP News).

O Pentágono diz que sua liderança foi informada sobre a violação em 4 de outubro por uma das equipes de segurança cibernética do departamento., mas segundo o AP News a violação pode ter começado meses antes.

O fornecedor não foi identificado e detalhes adicionais sobre a violação não estavam disponíveis. “O departamento continua a avaliar o risco de danos e garantirá que as notificações sejam feitas ao pessoal afetado“, disse o comunicado apurado pelo AP News, acrescentando que os indivíduos afetados serão informados nos próximos dias e serviços de proteção contra fraudes serão fornecidos a eles.

Buccino disse que, por motivos de segurança, o departamento não está identificando o fornecedor. Ele disse que o fornecedor ainda está sob contrato, mas o departamento “tomou medidas para que o fornecedor deixe de atuar sob seus contratos“.

Perigo Anunciado

A divulgação da violação vem na esteira de um relatório federal divulgado na terça-feira, 09 de outubro, que concluiu que os programas de armas militares são vulneráveis a ataques cibernéticos e que o Pentágono tem sido lento para proteger os sistemas. E isso espelha uma série de outras violações que atingiram agências do governo federal nos últimos anos, expondo dados de saúde, informações pessoais e números de seguridade social.

Embedded software and IT systems are pervasive in weapon systems, as represented by this fictitious weapon system. (Source: GAO)

O U.S. Government Accountability Office – GAO, em seu relatório de terça-feira, disse que o Pentágono trabalhou para garantir que suas redes sejam seguras, mas só recentemente começou a se concentrar mais na segurança de seus sistemas de armas. A auditoria, realizada entre setembro de 2017 e outubro de 2018, descobriu que há “desafios crescentes na proteção de seus sistemas de armas contra ameaças cibernéticas cada vez mais sofisticadas

A revisão foi impulsionada pelos militares dos EUA que “planejam gastar cerca de US $ 1,66 trilhão para desenvolver sua atual carteira de grandes sistemas de armas“, diz o GAO em seu relatório.

Por muito tempo, no entanto, o GAO afirma que, para os desenvolvedores de sistemas de armas dos EUA, a segurança cibernética tem sido uma reflexão tardia e que os projetos para os quais as deficiências de segurança da informação são identificadas foram ignorados ou minimizados como não tendo surgido de cenários de ataque realistas.

Embora o GAO e outros tenham advertido sobre os riscos cibernéticos por décadas, até recentemente, o DoD não priorizava a segurança cibernética dos sistemas de armas“, diz o GAO, embora tenha notado que os militares estão atrasados. “Finalmente, o Departamento de Defesa ainda está determinando a melhor forma de lidar com a segurança cibernética de sistemas de armas.

Mesmo assim, o GAO diz que os relatórios de testes de penetração que analisou descobriram que as armas poderiam ser subvertidas. “Usando ferramentas e técnicas relativamente simples, os testadores foram capazes de assumir o controle dos sistemas e operar amplamente sem serem detectados, devido, em parte, a problemas básicos, como o gerenciamento inadequado de senhas e as comunicações não criptografadas“, diz o GAO. “Além disso, as vulnerabilidades que o DoD está ciente provavelmente representam uma fração do total de vulnerabilidades devido a limitações de teste. Por exemplo, nem todos os programas foram testados e os testes não refletem toda a gama de ameaças.”

Um exemplo: um relatório mostrou que os testadores conseguiram adivinhar a senha do administrador para um sistema de armas em apenas 9 segundos, embora o GAO observe que essa velocidade não é uma métrica útil, porque não faz distinção entre adivinhação ou o uso de altamente ferramentas de ataque automatizadas.

Clique e veja o relatório completo do U.S. Government Accountability Office – GAO

Fontes: BankInfo Security & Associated Press News & Relatório GAO 2018 & Minuto da Segurança