spot_img
22.9 C
São Paulo
spot_img
Homehobby"Descubra as Surpreendentes Vulnerabilidades em Sistemas Governamentais dos EUA!"

“Descubra as Surpreendentes Vulnerabilidades em Sistemas Governamentais dos EUA!”

alegontdr
By alegontdr

Vulnerabilidades em Sistemas Governamentais dos EUA

A veritable laundry list of high- and critical-severity bugs have been uncovered in software platforms used by government agencies across the US. Os sistemas de tecnologia governamental são alguns dos mais críticos, responsáveis por armazenar informações pessoais sensíveis, como números de Seguro Social (SSNs), registros legais e médicos, inscrições de eleitores, entre outros. Não surpreende e, certamente, não conforta ninguém saber que esses sistemas estão repletos de vulnerabilidades.

Problemas Descobertos

O pesquisador de segurança Jason Parker revelou problemas em 19 plataformas deste tipo neste ano, divulgando várias delas no final da semana passada. Os casos incluem:

  • Um bug no portal do estado da Geórgia para cancelar inscrições de eleitores.
  • Um problema de controle de acesso que expôs documentos judiciais em vários condados da Flórida.
  • Diversas vulnerabilidades críticas que afetaram uma plataforma de gestão de pedidos de registros públicos utilizada por centenas de governos municipais, estaduais e de condados.

Estudo de Caso: Um Problema de Inscrição Eleitoral

Alguns podem lembrar que os “bugs governamentais” costumavam ser inusitados e engenhosos, como “The Thing”, um dispositivo de escuta embutido em um selo de madeira que ficou na residência do embaixador dos EUA em Moscou por sete anos antes de ser descoberto. Hoje, os problemas são mais simples — falhas de controle de acesso ou validações inadequadas de entrada do usuário. No entanto, as implicações do seu uso por hackers são bem sérias.

No final de julho, por exemplo, a Geórgia lançou um portal para solicitar o cancelamento de inscrições. Poucos dias depois, pesquisadores descobriram múltiplos problemas com o site. Parker encontrou uma falha que permitia que qualquer um enviasse um pedido de cancelamento apenas com informações facilmente obtidas em fontes públicas, como nomes, datas de nascimento e condados de residência, sem exigir dados pessoais mais sérios, como a carteira de motorista ou o SSN. Essa questão recebeu uma classificação “alta” no Common Vulnerability Scoring System (CVSS), com nota de 8,6 de 10, e foi corrigida logo após a divulgação inicial.

Durante esse tempo, membros do público tentaram tirar proveito dessas falhas, embora sem sucesso, incluindo tentativas de desregistrar a representante Marjorie Taylor Greene e o Secretário de Estado da Geórgia, Brad Raffensperger, dois republicanos proeminentes do estado.

A Variedade de Bugs em GovTech

Esse tipo de falha básica de autenticação é emblemático dos problemas de segurança que Parker encontrou. Além do bug da Geórgia, foram detectados três vulnerabilidades no sistema GovQA da Granicus. O GovQA é um sistema de gestão de registros públicos utilizado por mais de um terço das maiores cidades dos EUA, mais de 80 agências estaduais e quase metade dos “maiores” condados dos EUA, de acordo com o site do GovQA.

Outra série de bugs no sistema de arquivamento eletrônico da Granicus permitiu o vazamento de informações sensíveis, a capacidade de bloquear logins de usuários ou modificar contas sem autorização, além de escalonamento de privilégios. Esses bugs, com classificação “crítica” de 9,8 no CVSS, foram corrigidos em abril passado.

Um sistema semelhante, o C-Track eFiling da Thomson Reuters, permitiu que atacantes escalassem de contas de usuários comuns para aquelas reservadas a administradores de tribunal ao manipular certos campos no processo de registro, com uma correção para o bug classificado como “crítico” de 9,1 confirmada na semana passada.

Mais problemas de severidade semelhante foram descobertos em sistemas de registros judiciais utilizados em condados na Flórida, Arizona, Geórgia, Carolina do Sul, entre outros.

Por Que o GovTech É Tão Falho

As tecnologias governamentais tendem a ser falhas por várias razões. De acordo com Parker, “muitos dos sistemas que vi têm literalmente mais de 20 anos”. Eles têm sido constantemente incrementados, mas em cima de plataformas legadas.

Além da burocracia padrão, a antiga tecnologia sem amor sobrevive devido à falta de financiamento suficiente para novos sistemas, serviços e soluções de segurança que os protejam. E nem sempre os fornecedores são responsabilizados pelas falhas em cumprir suas obrigações.

Para que algo mude, Parker acredita que isso começará com o Programa Federal de Gerenciamento e Autorização de Risco (FedRAMP) — um programa governamental para avaliação de segurança em nuvem, autorização e monitoramento contínuo — e o StateRAMP, uma organização sem fins lucrativos que oferece um programa semelhante para governos estaduais e locais. “Esses são requisitos mínimos para a cibersegurança”, diz Parker, “e estão sendo adotados por mais e mais estados e condados também.”

#GovTech #Cibersegurança #Vulnerabilidades #TecnologiaGovernamental #SegurançaDigital

2024-10-01T21:12:53.000Z
Nate Nelson, Contributing Writer
ref:https://www.darkreading.com/vulnerabilities-threats/govt-judicial-it-systems-control-bugs

Previous article
“Darktrace é comprada por $5,3 bilhões: saiba tudo!”
Next article
“Ford Reduz Preço do BlueCruise: Aproveite Agora!”

latest articles

explore more

Bem-vindo ao meu site! Aqui você encontrará assuntos que fazem parte do meu dia a dia, com temas variados que refletem meus interesses e experiências. Sente-se, pegue um café e aproveite o conteúdo que preparei com carinho. Tenho certeza de que você vai curtir!

most viewed

trending right now

Copyright © Alegon.

Disclaimer

FAQ

Cookies

Privacy

About

Contact us