Da gebrauchte Geräte rabattiert sind, wäre es für Cyberkriminelle möglicherweise möglich, in den Kauf gebrauchter Geräte zu investieren, um sie nach Informationen und Netzwerkzugriff zu durchsuchen und die Informationen dann selbst zu verwenden oder weiterzuverkaufen. Die ESET-Forscher sagen, dass sie über die Veröffentlichung ihrer Ergebnisse diskutiert haben, weil sie Cyberkriminellen keine neuen Ideen liefern wollten, aber sie kamen zu dem Schluss, dass es dringender ist, das Bewusstsein für das Problem zu schärfen.
„Eine der großen Sorgen, die ich habe, ist, wenn jemand böse ist ist nicht Wenn Sie dies tun, ist es fast ein Hacker-Fehlverhalten, weil es so einfach und offensichtlich wäre“, sagt Camp.
Achtzehn Router sind nur eine kleine Auswahl von Millionen von Unternehmensnetzwerkgeräten, die weltweit auf dem Wiederverkaufsmarkt zirkulieren, aber andere Forscher sagen, dass sie die gleichen Probleme auch wiederholt bei ihrer Arbeit gesehen haben.
„Wir haben alle Arten von eingebetteten Geräten online bei eBay und anderen Second-Hand-Händlern gekauft, und wir haben viele gesehen, die nicht digital gelöscht wurden“, sagt Wyatt Ford, technischer Leiter bei Red Balloon Security, einem Internet-der-Dinge-Unternehmen Sicherheitsfirma. „Diese Geräte können eine Fülle von Informationen enthalten, die von Angreifern zum Zielen und Ausführen von Angriffen verwendet werden können.“
Wie in den ESET-Ergebnissen sagt Ford, dass Red Balloon-Forscher Passwörter und andere Anmeldeinformationen sowie personenbezogene Informationen gefunden haben. Einige Daten wie Benutzernamen und Konfigurationsdateien sind normalerweise im Klartext und leicht zugänglich, während Passwörter und Konfigurationsdateien oft geschützt sind, weil sie als verschlüsselte kryptografische Hashes gespeichert werden. Aber Ford weist darauf hin, dass sogar gehashte Daten immer noch potenziell gefährdet sind.
„Wir haben Passwort-Hashes genommen, die auf einem Gerät gefunden wurden, und sie offline geknackt – Sie wären überrascht, wie viele Leute ihre Passwörter immer noch auf ihre Katzen stützen“, sagt er. „Und selbst scheinbar harmlose Dinge wie Quellcode, Commit-Verlauf, Netzwerkkonfigurationen, Routing-Regeln usw. können verwendet werden, um mehr über eine Organisation, ihre Mitarbeiter und ihre Netzwerktopologie zu erfahren.“
Die ESET-Forscher weisen darauf hin, dass Organisationen denken könnten, dass sie verantwortlich sind, indem sie Verträge mit externen Geräteverwaltungsfirmen abschließen. Entsorgungsunternehmen für Elektroschrott oder sogar Gerätereinigungsdienste, die behaupten, große Mengen von Unternehmensgeräten für den Wiederverkauf zu löschen. In der Praxis tun diese Dritten jedoch möglicherweise nicht das, was sie behaupten. Und Camp merkt auch an, dass mehr Unternehmen die Verschlüsselung und andere Sicherheitsfunktionen nutzen könnten, die bereits von Mainstream-Routern angeboten werden, um die Auswirkungen zu mindern, wenn Geräte, die nicht gelöscht wurden, frei herumlaufen.
Camp und seine Kollegen versuchten, die alten Besitzer der gebrauchten Router, die sie gekauft hatten, zu kontaktieren, um sie zu warnen, dass ihre Geräte jetzt in der Wildnis ihre Daten ausspuckten. Einige waren dankbar für die Informationen, andere schienen die Warnungen zu ignorieren oder boten keinen Mechanismus an, über den Forscher Sicherheitsergebnisse melden konnten.
„Wir haben vertrauenswürdige Kanäle genutzt, die wir zu einigen Unternehmen hatten, aber dann stellten wir fest, dass viele andere Unternehmen viel schwieriger zu erreichen sind“, sagt Camp. „Erschreckend.“