いいえ、単純なIoTデバイスであっても、9999は適切なパスワードではありません

何年にもわたるトレーニングとセキュリティのヒントや情報の攻撃を受けた後でも、サイバーセキュリティに関してはまだ正しい考え方になっていないようです。ニュースを作った最新の、ありがたいことにマイナーな事件は、これを再び証明します。

プリンタージョブを実行するためにWeWorkの従業員間で共有されるユーザーアカウントは、驚くほど単純なパスワードを使用するように設定されました。この場合、パスワードは「9999」でした。 WeWorkは商業用不動産会社であり、顧客に共有ワークスペースを提供しています。会社のロンドン支店で働いているJakeEasleyという名前のWeWorkの顧客は、パスワードを推測するだけでアカウントにログインすることができました。

イーズリー氏のような人々は通常、共有機器でドキュメントを印刷する必要があるときに使用するために、7桁のユーザー名文字列と4桁のパスワード文字列を与えられます。ただし、この特定のアカウントのユーザー名は7桁ではなく4桁で、「9999」でした。 Easleyは、パスワードがユーザー名とまったく同じ文字列である「9999」であるため、パスワードを推測しただけです。

問題のアカウントは、印刷タスクの実際の内容を表示できないように設定されていましたが、イーズリーは、印刷Webポータルサービスを介して「9999」アカウントにログインすると、印刷をプッシュできることを発見しました。他の顧客が同じネットワーク上の他のプリンタにキューイングしたタスク。

欠点は、ゲストが使用できる無料のWi-Fiネットワークを介して印刷Webポータルにもアクセスできることです。このネットワークには、パスワードがまったくありませんでした。

EasleyがTechCrunchに問題について連絡した後、会社がこの問題について警告を受けた後、対策が講じられた。 WeWorkの代表であるColinHartは、同社が問題を調査しており、問題に対処するための措置を講じていると述べました。 Hartはさらに、WeWorkは、強化されたセキュリティ対策を含むネットワーク全体の印刷アップグレードプロセスを経ていると述べました。

この小さな事件は、ある種のデジタルセキュリティトレーニングを受けた企業の従業員でさえ、アカウントの資格情報を操作するときに悪い選択や間違いを犯しがちであることを示すのに役立ちます。

CCTVカメラやプリンターのような単純なインターネット接続デバイスの場合でも、「12345」または任意の数字の文字列を使用することはパスワードのひどい考えであるというのは普遍的な知識だと思うでしょう。ただし、パスワード文字列として「password」または「9999」を使用する段階をすべて通過するまで、この点はさらに打撃を与えるように思われます。

November 4, 2020

返信を残す