Nem, a 9999 nem jó jelszó, még egy egyszerű IoT-eszköz esetében sem

Úgy tűnik, hogy évekig tartó kiképzés és biztonsági tippekkel és információkkal való bombázás után sem vagyunk még mindig megfelelő gondolkodásúak a kiberbiztonság terén. A legújabb, szerencsére kisebb esemény, amely a hírt megalapozta, ezt még egyszer bizonyítja.

A WeWork munkatársai között megosztott felhasználói fiókot nyomtatói feladatok futtatásához riasztóan egyszerű jelszóval hozták létre - ebben az esetben a jelszó "9999" volt. A WeWork kereskedelmi ingatlancég, amely megosztott munkaterületeket biztosít ügyfeleinek. Egy Jake Easley nevű WeWork-ügyfélnek, aki a cég londoni fiókjában dolgozik, a jelszó kitalálásával sikerült bejelentkeznie a fiókba.

Az olyan emberek, mint Mr. Easley, általában egy hétjegyű felhasználónév-karakterláncot és egy négyjegyű jelszó-karakterláncot kapnak, amelyet akkor használnak, amikor dokumentumokat kell megosztott készülékekre nyomtatniuk. Ennek a fióknak a felhasználóneve azonban hét számjegy helyett csak négy volt, és "9999" volt. Easley egyszerűen kitalálta a jelszót, mert történetesen pontosan ugyanaz a karakterlánc volt, mint a felhasználónév - "9999".

A szóban forgó fiókot úgy hozták létre, hogy ne engedje megnézni a nyomtatási feladatok tényleges tartalmát, de Easley felfedezte, hogy ha a nyomtatási webportál szolgáltatáson keresztül bejelentkezett a "9999" fiókba, képes volt nyomást gyakorolni a nyomtatásra más ügyfelek által ugyanazon a hálózaton található bármely más nyomtatóhoz sorbaállított feladatok.

A fogás az, hogy a nyomtató internetes portál az ingyenes Wi-Fi hálózaton keresztül is elérhető, amelyet a vendégek használhatnak, aminek viszont egyáltalán nem volt jelszava.

Miután a vállalatot figyelmeztették a problémára, miután az Easley felvette a kapcsolatot a TechCrunchal a kérdésben, intézkedéseket hoztak. Colin Hart, a WeWork képviselője kijelentette, hogy a vállalat vizsgálja a problémát, és lépéseket tett minden probléma megoldására. Hart továbbá kijelentette, hogy a WeWork egész hálózaton átívelő nyomtatási frissítési folyamaton megy keresztül, amely fokozott biztonsági intézkedéseket tartalmaz.

Ez a kisebb esemény csak azt mutatja, hogy azok a vállalati alkalmazottak is, akik valamilyen digitális biztonsági képzésen vesznek részt, hajlamosak rossz döntéseket és hibákat elkövetni, amikor a fiók hitelesítő adataival dolgoznak.

Azt gondolhatnánk, hogy egyetemes tudomás lenne, hogy az "12345" vagy bármilyen számsor használata szörnyű ötlet a jelszóhoz, még akkor is, ha egyszerű, internethez csatlakoztatott eszközről van szó, például CCTV kameráról vagy nyomtatóról. Úgy tűnik azonban, hogy ez a pont még erőteljesebben fog hazavágni, amíg mindannyian túljutunk azon a szakaszon, amikor a "jelszó" vagy a "9999" jelszó karakterláncunkat használjuk.

November 4, 2020

Válaszolj