Nej, 9999 er ikke en god adgangskode, selv for en simpel IoT-enhed

Det ser ud til, at vi selv efter mange års træning og bombarderet med sikkerhedstip og information stadig ikke har den rette tankegang, når det kommer til cybersikkerhed. Den seneste, heldigvis mindre hændelse, der gjorde nyheden, beviser dette endnu en gang.

En brugerkonto, der blev delt mellem WeWork-medarbejdere til at køre printerjob, blev oprettet til at bruge en alarmerende enkel adgangskode - i dette tilfælde var adgangskoden "9999". WeWork er et kommercielt ejendomsselskab, der leverer delte arbejdsområder til sine kunder. En WeWork-kunde ved navn Jake Easley, der arbejder i en afdeling i London, lykkedes at logge ind på kontoen ved blot at gætte adgangskoden.

Folk som Mr. Easley ville normalt få en syvcifret brugernavnsstreng og en firecifret adgangskodestreng til at bruge, når de har brug for at udskrive dokumenter på delt udstyr. Dog var brugernavnet for denne særlige konto kun fire i stedet for syv cifre og var "9999". Easley gættede simpelthen adgangskoden, fordi det tilfældigvis var nøjagtig den samme streng som brugernavnet - "9999".

Den pågældende konto blev oprettet på en måde, der ikke tillod det at se det faktiske indhold af udskrivningsopgaverne, men Easley opdagede, at hvis han loggede ind på "9999" -kontoen gennem udskrivningens webportal-tjeneste, var han i stand til at skubbe udskrivning opgaver, som andre kunder køer til en hvilken som helst anden printer på det samme netværk.

Fangsten er, at udskrivningswebportalen også er tilgængelig via det gratis Wi-Fi-netværk, som gæsterne kan bruge, hvilket igen slet ikke havde en adgangskode.

Efter at virksomheden blev advaret om problemet efter at Easley kontaktede TechCrunch om problemet, er der truffet foranstaltninger. WeWork-repræsentant Colin Hart oplyste, at virksomheden undersøger problemet og har taget skridt til at løse eventuelle problemer. Hart erklærede endvidere, at WeWork gennemgik en netværksdækkende opgraderingsproces til udskrivning, der omfattede øgede sikkerhedsforanstaltninger.

Denne mindre hændelse tjener kun til at vise, at selv virksomhedsmedarbejdere, der gennemgår en slags digital sikkerhedstræning, er tilbøjelige til at træffe dårlige valg og fejl, når de arbejder med kontooplysninger.

Man skulle tro, at det ville være universel viden, at brug af "12345" eller en hvilken som helst talstreng er en frygtelig idé til et kodeord, selv når det kommer til en simpel, internetforbundet enhed som et CCTV-kamera eller en printer. Det ser dog ud til, at dette punkt vil tage endnu mere hamring, indtil vi alle kommer forbi scenen med at bruge "adgangskode" eller "9999" som vores adgangskodestreng.

November 4, 2020

Efterlad et Svar