Όχι, το 9999 δεν είναι καλός κωδικός πρόσβασης, ακόμη και για μια απλή συσκευή IoT

Φαίνεται ότι ακόμα και μετά από χρόνια εκπαίδευσης και βομβαρδισμού με συμβουλές και πληροφορίες ασφαλείας, δεν είμαστε ακόμα στη σωστή νοοτροπία όσον αφορά την ασφάλεια στον κυβερνοχώρο. Το τελευταίο, ευτυχώς μικρό, περιστατικό που έκανε τις ειδήσεις το αποδεικνύει ξανά.

Ένας λογαριασμός χρήστη που μοιράστηκε μεταξύ των εργαζομένων της WeWork για την εκτέλεση εργασιών εκτυπωτή δημιουργήθηκε για να χρησιμοποιεί έναν ανησυχητικά απλό κωδικό πρόσβασης - σε αυτήν την περίπτωση ο κωδικός πρόσβασης ήταν "9999". Η WeWork είναι μια εμπορική εταιρεία ακινήτων, που παρέχει κοινόχρηστους χώρους εργασίας για τους πελάτες της. Ένας πελάτης της WeWork με την ονομασία Jake Easley που εργάζεται σε υποκατάστημα της εταιρείας στο Λονδίνο κατάφερε να συνδεθεί στον λογαριασμό απλώς μαντεύοντας τον κωδικό πρόσβασης.

Σε άτομα όπως ο κ. Easley θα δοθεί συνήθως μια επταψήφια συμβολοσειρά ονόματος χρήστη και μια τετραψήφια συμβολοσειρά κωδικού πρόσβασης για χρήση όταν χρειάζεται να εκτυπώσουν έγγραφα σε κοινόχρηστο εξοπλισμό. Ωστόσο, το όνομα χρήστη για αυτόν τον συγκεκριμένο λογαριασμό ήταν μόλις τέσσερα αντί για επτά ψηφία και ήταν "9999". Ο Easley απλά μαντέψει τον κωδικό πρόσβασης, επειδή έτυχε της ίδιας ακριβώς συμβολοσειράς με το όνομα χρήστη - "9999".

Ο εν λόγω λογαριασμός δημιουργήθηκε με τρόπο που δεν του επέτρεπε να δει το πραγματικό περιεχόμενο των εργασιών εκτύπωσης, αλλά ο Easley ανακάλυψε ότι εάν συνδεθεί στον λογαριασμό "9999" μέσω της υπηρεσίας διαδικτυακής πύλης εκτύπωσης, θα μπορούσε να προωθήσει την εκτύπωση εργασίες σε ουρά από άλλους πελάτες σε οποιονδήποτε άλλο εκτυπωτή στο ίδιο δίκτυο.

Το σημαντικό είναι ότι η διαδικτυακή πύλη εκτύπωσης είναι επίσης προσβάσιμη μέσω του δωρεάν δικτύου Wi-Fi που μπορούν να χρησιμοποιούν οι επισκέπτες, το οποίο με τη σειρά του δεν είχε καθόλου κωδικό πρόσβασης.

Αφού η εταιρεία ειδοποιήθηκε για το ζήτημα μετά την Easley επικοινωνώντας με την TechCrunch σχετικά με το ζήτημα, έχουν ληφθεί μέτρα. Ο εκπρόσωπος της WeWork Colin Hart δήλωσε ότι η εταιρεία ερευνά το ζήτημα και έχει λάβει μέτρα για την αντιμετώπιση τυχόν ζητημάτων. Ο Hart δήλωσε επίσης ότι η WeWork περνούσε μια διαδικασία αναβάθμισης εκτύπωσης σε όλο το δίκτυο που περιελάμβανε αυξημένα μέτρα ασφαλείας.

Αυτό το μικρό περιστατικό χρησιμεύει μόνο για να δείξει ότι ακόμη και εταιρικοί υπάλληλοι που υποβάλλονται σε κάποιο είδος ψηφιακής εκπαίδευσης ασφαλείας είναι επιρρεπείς σε κακές επιλογές και λάθη όταν εργάζονται με διαπιστευτήρια λογαριασμού.

Κάποιος θα σκεφτόταν ότι θα ήταν καθολική γνώση ότι η χρήση του "12345" ή οποιουδήποτε αριθμού συμβολοσειρών αριθμών είναι μια τρομερή ιδέα για έναν κωδικό πρόσβασης, ακόμα και όταν πρόκειται για μια απλή συσκευή συνδεδεμένη στο Διαδίκτυο, όπως μια κάμερα CCTV ή έναν εκτυπωτή. Ωστόσο, φαίνεται ότι αυτό το σημείο θα φτάσει ακόμη περισσότερο στο σπίτι μέχρι να περάσουμε όλοι από το στάδιο της χρήσης "κωδικός πρόσβασης" ή "9999" ως συμβολοσειρά κωδικού πρόσβασης.

November 4, 2020

Αφήστε μια απάντηση