Nie, 9999 nie jest dobrym hasłem, nawet dla prostego urządzenia IoT

Wygląda na to, że nawet po latach szkolenia i bombardowania wskazówkami i informacjami dotyczącymi bezpieczeństwa nadal nie jesteśmy we właściwym nastawieniu, jeśli chodzi o cyberbezpieczeństwo. Ostatni, na szczęście niewielki incydent, który sprawił, że wiadomości te po raz kolejny to potwierdzają.

Konto użytkownika współdzielone przez pracowników WeWork do wykonywania zadań drukowania zostało skonfigurowane tak, aby używać niepokojąco prostego hasła - w tym przypadku hasło to „9999”. WeWork to firma zajmująca się nieruchomościami komercyjnymi, udostępniająca swoim klientom wspólne obszary robocze. Klient WeWork imieniem Jake Easley, który pracuje w londyńskim oddziale firmy, zdołał zalogować się na konto, po prostu odgadując hasło.

Osoby takie jak pan Easley zwykle otrzymywały siedmiocyfrową nazwę użytkownika i czterocyfrowe hasło do użycia, gdy muszą drukować dokumenty na wspólnym sprzęcie. Jednak nazwa użytkownika dla tego konkretnego konta składała się tylko z czterech zamiast siedmiu cyfr i wynosiła „9999”. Easley po prostu odgadł hasło, ponieważ okazało się, że był to dokładnie ten sam ciąg, co nazwa użytkownika - „9999”.

Konto, o którym mowa, zostało skonfigurowane w sposób, który nie pozwalał mu zobaczyć rzeczywistej zawartości zadań drukowania, ale Easley odkrył, że jeśli zalogował się na konto „9999” za pośrednictwem usługi portalu drukowania, był w stanie wypchnąć drukowanie zadania w kolejce przez innych klientów do dowolnej innej drukarki w tej samej sieci.

Problem polega na tym, że portal drukowania jest również dostępny za pośrednictwem bezpłatnej sieci Wi-Fi, z której mogą korzystać goście, która z kolei w ogóle nie miała hasła.

Po tym, jak firma została powiadomiona o problemie po skontaktowaniu się Easley z TechCrunch w sprawie problemu, podjęto działania. Przedstawiciel WeWork, Colin Hart, stwierdził, że firma bada problem i podjęła kroki w celu rozwiązania wszelkich problemów. Hart stwierdził ponadto, że WeWork przechodził proces modernizacji druku w całej sieci, który obejmował podwyższone środki bezpieczeństwa.

Ten drobny incydent służy jedynie pokazaniu, że nawet pracownicy korporacji, którzy przeszli jakieś szkolenie z zakresu bezpieczeństwa cyfrowego, są podatni na dokonywanie złych wyborów i błędów podczas pracy z danymi uwierzytelniającymi konta.

Można by pomyśleć, że to powszechna wiedza, że użycie „12345” lub dowolnego ciągu cyfr to fatalny pomysł na hasło, nawet jeśli chodzi o proste urządzenie podłączone do Internetu, takie jak kamera CCTV czy drukarka. Jednak wygląda na to, że ten punkt zajmie jeszcze więcej pracy, dopóki wszyscy nie przejdziemy przez etap używania „hasła” lub „9999” jako naszego ciągu hasła.

November 4, 2020

Zostaw odpowiedź