News

A troca de acusações começa enquanto o incidente cibernético no órgão de transportes de Londres continua

O “incidente cibernético” da Transport for London (TfL) está chegando ao terceiro dia em meio a alegações de que um aparelho popular pode ter sido a porta de entrada para criminosos obterem acesso à rede da organização.

A TfL continua reticente sobre a natureza do incidente e seu impacto mais amplo, mantendo-se, em vez disso, na linha de que não há atualmente nenhuma evidência de dados de clientes sendo comprometidos ou impacto nos serviços da TfL. No entanto, surgiram alegações sobre como os criminosos conseguiram uma posição.

Uma fonte próxima ao assunto nos disse: “O hack da TfL foi o Cisco VPN deles sendo estourado”. Outro relatórios observou que praticamente toda a internet de saída foi cortada e a de entrada restringida, provavelmente para permitir que todos os funcionários que de repente precisaram trabalhar em casa pudessem ficar online.

Colocamos a sugestão para a TfL de que os invasores podem ter obtido acesso por meio de um dispositivo Cisco ou Netscaler, mas a organização nos disse que seria inapropriado comentar enquanto o incidente estivesse em andamento. O alarme foi disparado quando a TfL detectou alguma atividade suspeita durante o monitoramento de rotina. O acesso foi posteriormente limitado.

Outro relatórios dizem que o encerramento abrupto do Wi-Fi foi o primeiro indicador de que nem tudo estava bem na rede.

A página de login da conta sem contato e Oyster permanece offline por enquanto, enquanto a TfL faz “manutenção para sem contato”. Outras funções da TfL, como APIs usadas para horários de metrô ao vivo, também estão offline no momento, a julgar por sites como Mapeador de cidade.

Não é incomum que pesquisadores apontem vulnerabilidades em hardware e software da Cisco como pontos de acesso úteis para criminosos. Implantar patches e ficar de olho em CVEs é um jogo desagradável de wac-a-mole para administradores, mas não ficar por dentro das coisas pode ter ainda mais consequências desagradáveis.

Perguntamos à Cisco se ela gostaria de fazer um comentário sobre o incidente, mas a empresa americana ainda não respondeu.

Embora a TfL tenha permanecido em silêncio durante o incidente, suas medidas de contenção – cortando abruptamente o acesso – carregam todas as características de uma reação a um ataque de ransomware ou tentativa de exfiltração. Suas medidas internas permanecem em vigor enquanto a investigação ocorre.

Dependendo da natureza da violação, o Information Commissioner’s Office (ICO) do Reino Unido deve ser notificado dentro de 72 horas. O Registro perguntou ao regulador se ele havia recebido uma notificação da TfL.

Um porta-voz do ICO escreveu em um e-mail: “A Transport for London nos informou sobre um incidente e estamos avaliando as informações fornecidas.” ®

Source

Related Articles

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button