İkinci el ekipman indirimli olduğundan, siber suçluların bilgi ve ağ erişimi için madencilik yapmak üzere kullanılmış cihazları satın almaya yatırım yapması ve ardından bilgileri kendilerinin kullanması veya yeniden satması potansiyel olarak uygun olacaktır. ESET araştırmacıları, siber suçlulara yeni fikirler vermek istemedikleri için bulgularını yayınlayıp yayınlamamayı tartıştıklarını, ancak konu hakkında farkındalık yaratmanın daha acil olduğu sonucuna vardıklarını söylüyorlar.
“Sahip olduğum en büyük endişelerden biri, eğer birisi kötü biriyse değil Bunu yapmak, neredeyse hacker’ın görevi kötüye kullanması, çünkü çok kolay ve bariz olurdu,” diyor Camp.
On sekiz yönlendirici, yeniden satış pazarında dünya çapında dolaşan milyonlarca kurumsal ağ aygıtından küçük bir örnektir, ancak diğer araştırmacılar, çalışmalarında da aynı sorunları defalarca gördüklerini söylüyorlar.
Nesnelerin İnterneti Red Balon Güvenlik mühendislik müdürü Wyatt Ford, “EBay’den ve diğer ikinci el satıcılardan çevrimiçi olarak her türlü gömülü cihazı satın aldık ve dijital olarak silinmemiş çok şey gördük” diyor. güvenlik firması. “Bu cihazlar, kötü aktörler tarafından saldırıları hedeflemek ve gerçekleştirmek için kullanılabilecek bilgi hazineleri içerebilir.”
ESET bulgularında olduğu gibi Ford, Red Balon araştırmacılarının şifreleri ve diğer kimlik bilgilerini ve kişisel olarak tanımlayıcı bilgileri bulduğunu söylüyor. Kullanıcı adları ve yapılandırma dosyaları gibi bazı veriler genellikle düz metin halindedir ve kolayca erişilebilirken, parolalar ve yapılandırma dosyaları karıştırılmış şifreleme karmaları olarak depolandıklarından genellikle korunurlar. Ancak Ford, karma verilerin bile hala potansiyel olarak risk altında olduğuna dikkat çekiyor.
“Bir cihazda bulunan parola hash’lerini aldık ve bunları çevrimdışı olarak çözdük; hâlâ kaç kişinin parolalarını kedilerinden aldığına şaşıracaksınız” diyor. “Kaynak kodu, işlem geçmişi, ağ yapılandırmaları, yönlendirme kuralları vb. gibi zararsız görünen şeyler bile bir kuruluş, çalışanları ve ağ topolojisi hakkında daha fazla bilgi edinmek için kullanılabilir.”
ESET araştırmacıları, kuruluşların, harici cihaz yönetimi şirketleriyle sözleşme yaparak sorumlu olduklarını düşünebileceklerine dikkat çekiyor. e-atık imha şirketleri ve hatta yeniden satış için büyük miktarda kurumsal cihazı sildiğini iddia eden cihaz temizleme hizmetleri. Ancak uygulamada bu üçüncü kişiler iddia ettiklerini yapmıyor olabilir. Ve Camp ayrıca, daha fazla kuruluşun, silinmemiş cihazlar dünyada serbest kalırsa, serpintiyi azaltmak için ana akım yönlendiriciler tarafından hali hazırda sunulan şifreleme ve diğer güvenlik özelliklerinden yararlanabileceğini belirtiyor.
Camp ve meslektaşları, satın aldıkları kullanılmış yönlendiricilerin eski sahipleriyle iletişim kurmaya çalışarak, cihazlarının artık ortalıkta dolaşıp verilerini yaydığı konusunda onları uyardı. Bazıları bilgi için minnettardı, ancak diğerleri uyarıları görmezden geldi ya da araştırmacıların güvenlik bulgularını bildirebilecekleri hiçbir mekanizma sunmadı.
Camp, “Bazı şirketler için sahip olduğumuz güvenilir kanalları kullandık, ancak diğer birçok şirkete ulaşmanın çok daha zor olduğunu gördük” diyor. “Korkutucu bir şekilde.”