Badacze z firmy ESET ruszyli na serwisy ogłoszeniowe, by kupić kilkanaście używanych routerów. Ich wnioski są alarmujące.
Kiedy sprzedajesz komputer lub smartfon, wyzerowanie ustawień i usunięcie swych danych z pamięci wydaje się rzeczą oczywistą, choć oczywiście sprzęt przychodzący z cudzymi dokumentami czy zdjęciami wciąż się zdarza. Dość powiedzieć, że taki błąd popełniają nawet niektórzy dziennikarze, bo redakcji TELEPOLIS nie raz i nie dwa przytrafił się chociażby laptop z zapisanymi hasłami. Tak czy siak, większość użytkowników pamięć raczej czyści.
Jak jednak pokazuje eksperyment firmy ESET, co tyczy się komputerów i smartfonów, niekoniecznie musi obejmować również sprzęt innego typu. Przechodząc do rzeczy, pracownicy słowackiej spółki zakupili na rynku wtórnym 16 routerów. Celowali przy tym w takie egzemplarze, które potencjalnie mogły być wykorzystywane w biznesie; na przykład opisane jako poleasingowe. Wnioski są ponure.
Spośród 16 zakupionych egzemplarzy aż dziewięć było w mniejszym lub większym stopniu nieprzygotowanych do odsprzedaży – wylicza dr Cameron Camp, szef projektu. Zakupione routery zawierały bowiem wrażliwe dane w formacie możliwym do odczytania i to bez wyszukanych sztuczek.
W przypadku feralnej dziewiątki badaczom udało się odczytać dokładne dane o poprzednim właścicielu/operatorze. Wszystkie zawierały też co najmniej jedno poświadczenie IPsec lub VPN, albo zaszyfrowane hasło roota. Natomiast w ośmiu z nich znaleziono jeszcze dane logowania do określonych aplikacji oraz klucze uwierzytelniania do innych routerów. A to dopiero początek.
Idąc dalej, w czterech badacze ESET znaleźli poświadczenia umożliwiające łączenie się z innymi sieciami jako zaufana strona trzecia, w trzech – dane, umożliwiające stronom trzecim połączenie się z prywatną siecią firmową poprzedniego właściciela. Tymczasem to wciąż nie wszystko.
Zdecydowanie najbardziej alarmujące okazały się dwa routery, gdzie w pamięci masowej pojawiły się dane klientów. Na domiar złego, co podkreślono, wbrew pozorom nie były to urządzenia pochodzące od laików, ale ponoć z firm, które na co dzień zajmują się zarządzaniem danymi i tworzeniem oprogramowania, bądź świadczą usługi prawnicze.
Organizacje muszą być znacznie bardziej świadome tego, co pozostało na urządzeniach, które wyrzucają na śmieci, ponieważ większość urządzeń, które uzyskaliśmy na rynku wtórnym, zawierała cyfrowy plan zaangażowanej firmy, w tym między innymi podstawowe informacje o sieci, dane aplikacji, dane uwierzytelniające firmy oraz informacje o partnerach, dostawcach i klientach
– podsumowuje dr Cameron Camp z ESET.
Reasumując, ESET zauważa, że wyczyszczenie routera z danych nie jest procesem jakkolwiek skomplikowanym. O tym, jak taką operację przeprowadzić, zawsze informuje instrukcja – zaznacza dr Camp. A jeśli sprzęt jest skreślany ze stanu, firmy powinny zdaniem badacza wypracować odpowiednie procedury na taki wypadek.
Rzecz jasna, analogicznie powinno wyglądać to w momencie odsprzedaży routera prywatnego, użytkowanego w domu. Co prawda dane przechowywane w sieci domowej są zazwyczaj znacznie mniej interesujące dla potencjalnych ciekawskich niż te firmowe, ale nie oznacza to przecież, że należy ewentualnemu włamywaczowi ułatwiać robotę.
Źródło zdjęć: Teerasan Phutthigorn / Shutterstock
Źródło tekstu: Materiały prasowe, oprac. własne
