חוקרי אבטחה חשפו בפומבי ממצאים במחקר שחשף כי יותר ממחצית מהאנשים נתבים ארגוניים שנמכרו יד שנייה למשווקים מקוונים, כמו eBay, לא אופסו למפעל ולא נמחקו הנתונים שלהם. המשמעות היא שהמכשירים עדיין הכילו מידע חברה רגיש מהבעלים הקודמים שלהם כשהם נמכרו מחדש.
חוקרים מחברת האבטחה ESET מתכננים להציג את המחקר שלהם ב- כנס אבטחה של RSA בסן פרנסיסקו בשבוע הבא, אבל סיפר חוטי שהם הצליחו לחשוף נתונים של הארגונים הארגוניים מהנתבים היד שנייה, כולל "מידע רשת, אישורים ונתונים סודיים אחרים", ללא מאמץ גדול.
בפרט, החוקרים רכשו 18 נתבים משומשים ממותגים ידועים כולל Cisco, Fortinet ו-Juniper Networks. בסופו של דבר הם גילו שתשעה מהמכשירים נמכרו כפי שהם, והם הציעו גישה נוחה לכל המידע של הנתב. בינתיים, חמישה מהנתבים אופסו לחלוטין להגדרות היצרן ונמחקו מכל הנתונים. שניים מהנתבים הוצפנו, אחד היה מת ואחד היה עותק מראה של מכשיר אחר, ציין Wired.
קָשׁוּר
- עדכון אבטחה חיוני עבור מכשירי אפל לוקח רק כמה דקות להתקין
- יחידת הסייבר החדשה NatSec של DOJ כדי להגביר את המאבק נגד האקרים הנתמכים על ידי המדינה
- האם ChatGPT יוצר סיוט אבטחת סייבר? שאלנו את המומחים
המידע שהצליחו חוקרי ESET לאסוף מתשעת הנתבים הלא מוגנים כולל "אישורים של הארגון VPN, אישורים לשירות תקשורת רשת מאובטחת אחר, וסיסמאות מנהלי שורש גיבובות."
סרטונים מומלצים
שמונה מהנתבים הלא מוגנים כללו "מפתחות אימות נתב לנתב" עם "מידע על האופן שבו הנתב מחובר ליישומים ספציפיים שבהם השתמשו הבעלים הקודם." ארבעה נתבים כללו "אישורים לחיבור לרשתות של ארגונים אחרים, כגון שותפים מהימנים, משתפי פעולה או שלישי אחר מסיבות." שלושה מכשירים אירחו פרטים כיצד ניתן "להתחבר כצד שלישי לרשת של הבעלים הקודם", בעוד שניים החזיקו בנתוני לקוחות, לפי לימוד.
ESET גם ציינה שכל תשעת הנתבים הלא מוגנים כללו מספיק נתונים כדי שהחוקרים יוכלו להבין לאילו ארגונים הם השתייכו בעבר.
החוקרים ציינו עד כמה הסיכון האבטחה שהנתבים הללו נגישים בקלות רבה הוא בגלל השכיחות של פושעי רשת והאקרים הנתמכים על ידי המדינה. ניתן פשוט לרכוש את הנתבים בהנחה באינטרנט מכיוון שהם יד שנייה, ושחקנים גרועים יכולים להיות לסרוק מכשירים לאיתור מידע ארגוני יקר ערך שהם יכולים למכור ברשת האפלה ואז פשוט למכור מחדש את הנתב שוב. החוקרים אמרו שהם היססו לפרסם את הממצאים שלהם, אבל בסופו של דבר החליטו שמודעות היא האפשרות הטובה יותר.
צוות ESET אמר ל-Wired שהם עשו את חריצותם ליצור קשר ולהזהיר את הבעלים הקודמים על אופי הנתבים שלהם, עם כמה אסיר תודה על העדכון. בינתיים, נראה שאחרים מתעלמים מהאזהרות או לא שיתפו פעולה.
המלצות עורכים
- התקפות כופר עלו באופן מסיבי. הנה איך לשמור על בטיחות
- 81% חושבים ש-ChatGPT הוא סיכון אבטחה, כך עולה מהסקר
- ניצול קריטי זה יכול לאפשר להאקרים לעקוף את ההגנות של ה-Mac שלך
- ייתכן שהאקרים גנבו את המפתח הראשי למנהל סיסמאות אחר
- האקרים משתמשים בטריק חדש וערמומי כדי להדביק את המכשירים שלך
שדרג את אורח החיים שלךמגמות דיגיטליות עוזרות לקוראים לעקוב אחר עולם הטכנולוגיה המהיר עם כל החדשות האחרונות, ביקורות מהנות על מוצרים, מאמרי מערכת מעוררי תובנות והצצות מיוחדות במינן.
