.
A AT&T está “ocultando relatórios vitais de segurança cibernética” sobre sua rede telefônica FirstNet para socorristas e militares dos EUA, de acordo com o senador Ron Wyden (D-OR), que disse que a rede foi considerada insegura pela CISA.
Em uma carta [PDF] enviado à Agência de Segurança Cibernética e Infraestrutura (CISA) e NSA do governo dos EUA, o senador pediu uma auditoria anual de segurança cibernética da FirstNet, citando um protocolo de sinalização telefônica de quase meia década que criminosos e espiões podem explorar para rastrear dispositivos móveis e interceptar seus chamadas e textos.
“Essas vulnerabilidades da rede telefônica estão sendo exploradas ativamente para realizar vigilância internacional”, escreveu Wyden.
Em questão está Sistema de sinalização nº 7 (SS7), um protocolo desenvolvido em meados da década de 1970 e usado por operadoras de rede para conectar uma rede a outra. Isso é muito vulnerável para uso indevido e foi abusado para determinar a localização de um celular, redirecionar e ler suas mensagens de texto recebidas, bisbilhotar chamadase mais.
“Essas falhas de segurança também são uma questão de segurança nacional, especialmente se os governos estrangeiros puderem explorar essas falhas para atingir o pessoal do governo dos EUA”, disse o senador Wyden em sua carta de 12 de abril, acrescentando que está “particularmente preocupado com a FirstNet”.
A AT&T opera a FirstNet sob uma Contrato de US$ 6,5 bilhões com o governo dos EUA. É uma rede nacional destinada a permitir que policiais, bombeiros e paramédicos transmitam dados e comunicações em várias regiões e jurisdições sem se preocupar com a perda de transmissões em redes superlotadas, principalmente durante desastres.
Tudo isso é bom em teoria – até que seja comprometido ou abusado por criminosos e governos estrangeiros.
Wyden diz que conheceu um especialista da CISA sobre o assunto em fevereiro de 2022, que lhe disse que a agência de segurança cibernética dos Estados Unidos “não confiava na segurança da FirstNet, em grande parte porque não viu os resultados de nenhuma auditoria de segurança cibernética realizada contra este governo – apenas rede.”
Isso, de acordo com Wyden, ocorre porque a AT&T “não está disposta” a compartilhar os resultados das auditorias independentes de segurança cibernética da FirstNet com a CISA, a NSA, outras agências governamentais ou mesmo o Congresso.
A AT&T não respondeu Strong The Onesobre as auditorias de segurança cibernética da FirstNet, embora um porta-voz da FirstNet Authority tenha nos enviado a seguinte declaração por e-mail:
Wyden, no entanto, tem um ponto de vista diferente.
“Ocultar relatórios vitais de segurança cibernética é simplesmente inaceitável”, escreveu Wyden. “Como as principais agências responsáveis pela segurança cibernética do governo, a CISA e a NSA precisam ter acesso a todas as informações relevantes sobre a segurança cibernética da FirstNet, e o Congresso precisa dessas informações para realizar a supervisão”.
Além disso, se as agências governamentais e o Congresso não puderem ter acesso às auditorias da FirstNet encomendadas pela AT&T, esses órgãos públicos devem encomendar suas próprias auditorias anuais, acrescentou Wyden. “Se você não tem recursos ou autoridade para conduzir tais auditorias, por favor, indique, para que o Congresso possa tomar as medidas necessárias para resolver essa lacuna.”
Para encerrar, ele também solicita uma cópia de um relatório encomendado pela CISA ameaçadoramente intitulado “Insegurança das telecomunicações dos EUA 2022”. Até agora, a CISA recusou os “múltiplos pedidos” de Wyden para obter uma cópia. Para Strong The One: nós como uma cópia, também. Parece uma ótima leitura para dormir.
Quando questionado sobre a carta de Wyden, um porta-voz da CISA disse Strong The One: “CISA não comenta correspondência do Congresso; responderemos diretamente ao Senador.”
A NSA não respondeu Strong The Onepedido de comentário. Até o momento, o escritório de Wyden não teve resposta de nenhuma das agências. ®
.
