Cibercrime: invasão do Salt Typhoon
- AT&T, Verizon e Lumen Technologies confirmaram que hackers apoiados pelo governo chinês invadiram seus sistemas.
- A invasão é descrita como “o pior hack de telecomunicações da história do nosso país” e deu à China a capacidade de rastrear a localização de milhões de pessoas e registrar chamadas telefônicas.
- A AT&T afirmou que um pequeno número de clientes foi afetado e que, no momento, não há atividade de hackers patrocinados por Estados em sua rede.
- A Verizon anunciou que clientes de alto escalão nas áreas governamental e política foram afetados pela invasão e que, neste momento, o incidente está sob controle.
- A Lumen Technologies confirmou que os dados de clientes não foram acessados e que uma empresa forense independente removeu os hackers da rede.
Nove operadoras violadas, diz a Casa Branca
- A Casa Branca anunciou que outras operadoras não identificadas também foram comprometidas, confirmando que um total de 9 empresas foi afetado.
- Os hackers chineses tiveram amplo acesso às redes e puderam rastrear a localização de milhões de pessoas e registrar chamadas telefônicas.
- A Casa Branca destacou que medidas voluntárias de cibersegurança não são suficientes contra ameaças patrocinadas por Estados, e a FCC iniciou uma proposta de regras para exigir das operadoras práticas básicas de cibersegurança.
- Os CEOs das 9 operadoras assinaram a estrutura de segurança sustentada por 60 dias do governo.
Informações adicionais
- A FCC está avançando com uma proposta de regras para reforçar a segurança das redes das operadoras, com votação prevista até 15 de janeiro.
- O senador norte-americano Ron Wyden propôs um projeto de lei para exigir que a FCC emita regras vinculantes para sistemas de telecomunicações.
- Essa cooperação público-privada tem como objetivo implementar práticas mínimas de cibersegurança acordadas por agências de inteligência, CISA, FBI e especialistas em segurança de telecomunicações.
1 comentários
Comentários do Hacker News
Há quem diga que a minimização de dados e a criptografia de ponta a ponta dos dados dos clientes reduziriam os vazamentos de dados. As agências de inteligência tentam acessar as conversas de cidadãos inocentes.
A explicação do hack é pouco clara, mas, se mais operadores de rede afirmam ter sido invadidos, aumenta a probabilidade de que a China tenha atacado interceptações legais. Isso pode acontecer de várias formas, como subornar ou chantagear alguém das forças de segurança, um ataque à cadeia de suprimentos, invasão da autenticação entre a rede e o LIMS, entre outras.
Bancos dos EUA, Venmo, PayPal e outros tentam usar números de telefone "reais" como meio de autenticação. O Venmo não aceita números VoIP, mas ao assinar o Tello e ativar um eSIM, foi possível receber SMS até do exterior. O custo foi de apenas 5 dólares.
Como alguém que trabalha com segurança, é surpreendente que várias empresas tenham sido hackeadas ao mesmo tempo. Isso sugere muita coisa sobre os objetivos da PRD. Fica a dúvida de por que atacar todas as empresas ao mesmo tempo e provocar uma resposta em nível presidencial. Trata-se de um ataque à infraestrutura como na "Guerra Fria" moderna.
O Departamento do Tesouro dos EUA anunciou que foi invadido por agentes de ameaça chineses. A chave de acesso remoto do seu "fornecedor de cibersegurança" foi comprometida, permitindo que os invasores acessassem endpoints do Tesouro.
Em discussões anteriores relacionadas, houve relatos sobre o direcionamento da RPC à infraestrutura comercial de telecomunicações e sobre AT&T e Verizon terem sido hackeadas com foco na plataforma de escuta do governo dos EUA.
Há quem defenda que é necessária criptografia entre dispositivos acima de qualquer outra camada de segurança. Não deveria haver nenhum caso em que a comunicação não estivesse criptografada para todos, exceto o destinatário.
Há especulação de que a Starlink poderia rastrear facilmente a localização de todos os IMEI de telefones 4G/5G por meio de antenas celulares diretas em larga escala.
Há quem diga que nunca mais será possível confiar neles. Isso deveria ser implementado por lei para que o cartão SIM forneça uma prova de conhecimento zero de um plano celular/de dados válido até uma determinada data. Se não conseguem proteger os dados com segurança, não merecem tê-los.