[vc_row css_animation=”” row_type=”row” use_row_as_full_screen_section=”no” type=”full_width” angled_section=”no” text_align=”left” background_image_as_pattern=”without_pattern”][vc_column][vc_column_text]

Grupo Mitsubishi confirma invasão de sua rede em Nagoya, no Japão

Contaminação inicial foi no PC de um funcionário em home office, que depois conectou esse PC à rede interna

O Grupo MHI (Mitsubishi Heavy Industries) confirmou na tarde do dia 10 de agosto que sua rede de dados em Nagoya, no Japão, foi “acessada por um terceiro não autorizado”. O incidente, segundo a empresa, foi descoberto em 21 de maio deste ano, por causa de uma comunicação externa não autorizada em um dos servidores, o que levou a empresa a iniciar uma investigação. Em 22 de maio, uma verificação das comunicações de dados da região de Nagoya levou à identificação do equipamento hackeado, que foi imediatamente bloqueado na rede.

A empresa informou que foi iniciada a seguir uma análise dos registros de comunicação e elaborado um relatório do incidente para as pessoas “interessadas” (diretoria e autoridades). Segundo a MHI, a investigação interna confirmou que não houve vazamento de informações sensíveis ou de informações técnicas altamente confidenciais, assim como de informações importantes relacionadas às empresas afiliadas do Grupo.

A contaminação inicial ocorreu dia 29 de abril deste ano, no computador de um funcionário que trabalhava em home office. Segundo a empresa, ele se conectou a uma rede externa e acessou uma rede social, de onde baixou um arquivo infectado por vírus. Oito dias depois, em 7 de maio, ele foi trabalhar nos escritórios da empresa e lá conectou seu PC, causando a contaminação da rede interna. No dia 18 de maio finalmente o vírus se espalhou pela rede, mas só no dia 21, três dias depois, a comunicação com um servidor externo estranho foi registrada e a investigação iniciada.

No dia seguinte, 22 de maio, o servidor foi removido da rede e seus logs começaram a ser examinados. A investigação só foi concluída no dia 21 de julho, e revelou que as informações vazadas consistiam principalmente em dados pessoais (nomes e endereços de e-mail) de funcionários, bem como logs de servidor, pacotes de comunicação, informações de configuração de servidor e outras informações relacionadas à área de TI.

No relatório, a MHI afirma que a causa do incidente foi engenharia social, durante “uso indevido das mídias sociais”. A empresa decidiu divulgar os detalhes do incidente para “chamar a atenção e alertar todos os colaboradores”. Uma das razões pelas quais o invasor conseguiu se mover lateralmemnte, segundo a empresa, é “porque as contas locais privilegiadas de vários servidores na área afetada usavam senhas idênticas. Acreditamos que o uso malicioso de contas privilegiadas habilitou o login em outro equipamento. Em resposta a isso, alteramos as senhas das contas locais privilegiadas para que não haja duas iguais”.

 

[/vc_column_text][/vc_column][/vc_row]