Documentos confidenciales del DOT encontrados vulnerables a los piratas informáticos
Auditores federales pueden acceder a información personal y listas de vuelos VIP
WASHINGTON — Las pruebas de vulnerabilidad realizadas en el Departamento de Transporte de EE. UU. revelaron que la información personal de los empleados y otros documentos confidenciales están en riesgo debido a salvaguardias de TI ineficaces, según un organismo de control federal.
Al utilizar credenciales de cuentas de administrador disponibles públicamente, los auditores de la Oficina del Inspector General del departamento pudieron obtener acceso no autorizado a impresoras utilizadas por los empleados de la Administración Federal de Carreteras del DOT, según informe de la OIG publicado el miércoles.
Ese acceso permitió a los investigadores ver todo tipo de información personal que los empleados habían impreso, escaneado o enviado por fax previamente, incluidas licencias de matrimonio, facturas y recetas médicas, últimas voluntades y testamentos de los empleados, documentos fiscales, extractos de cuentas bancarias, direcciones particulares y números de Seguro Social. .
Como parte de sus pruebas de acceso sin credenciales, la OIG también encontró que no se había requerido autenticación desde una sala de conferencias no segura, lo que “nos permitió atravesar desde la intranet de la FHWA a la intranet de la FAA”, afirmó la agencia en el informe.
«Luego obtuvimos acceso no autorizado a los sistemas de la FAA que se suponía tenían acceso restringido solo al personal autorizado de la FAA, que contenían documentos confidenciales, así como documentos con datos de propiedad no autorizados para otras agencias gubernamentales o proveedores».
Esos documentos incluían registros de mantenimiento del aeropuerto, planes detallados de mantenimiento futuro, listas de pasajeros VIP y registros de vuelo editables.
“También accedimos a una aplicación del Centro Nacional de Control de Operaciones de la FAA y a un sitio de dibujos de ingeniería de la FAA que contiene dibujos y diseños de contratistas propietarios de terceros, así como dibujos y esquemas militares.
«Por último, accedemos a una herramienta de búsqueda de aviación que contiene aeropuertos globales, helipuertos y una pista de aterrizaje táctica clasificada bajo un seudónimo dentro del Sistema Nacional de Alerta de Mantenimiento de la FAA».
La auditoría, realizada entre noviembre de 2021 y agosto de 2024, identificó miles de vulnerabilidades individuales en FHWA que tenían más de un año y no se remediaron dentro de los plazos especificados requeridos por el DOT.
Entre ellos, la OIG encontró:
- 541 vulnerabilidades críticas, el 80% de las cuales no se habían solucionado dentro de los 30 días posteriores a su identificación.
- 1.366 vulnerabilidades altas, el 91% de las cuales no se habían solucionado dentro de los 30 días posteriores a su identificación.
- 4.755 vulnerabilidades medianas, el 99% de las cuales no se habían solucionado dentro de los 60 días posteriores a su identificación.
La OIG emitió ocho recomendaciones al DOT, entre ellas ordenar a la oficina de TI del departamento desarrollar e implementar un plan para remediar todas las vulnerabilidades críticas, altas y medias identificadas, así como hacer cumplir la política de seguridad del DOT para eliminar las credenciales predeterminadas para todos los dispositivos comprometidos, incluidos los compartidos. impresoras de red.
El DOT culpó de algunos de los resultados de la auditoría a la falta de comunicación entre el departamento y la OIG. También señaló que si bien la auditoría fue interna, «la OIG no pudo penetrar la infraestructura de TI del DOT y la FHWA externamente, lo que demuestra la fortaleza de las defensas del Departamento contra amenazas externas».
Sin embargo, el informe advirtió que hasta que el DOT implemente protecciones de red de TI adecuadas, «el Departamento y sus Administraciones Operativas seguirán en riesgo de sufrir ataques de ciberseguridad que podrían tener un impacto importante en sus misiones».
Artículos relacionados:
- La agencia marítima de EE. UU. es vulnerable a los ciberpiratas
- Las víctimas de accidentes alegan violaciones del DOT relacionadas con el informe del guardia de anulación
- Fraude de CDL denunciado por organismos de control federales
Haga clic para obtener más artículos de FreightWaves de John Gallagher.