Aquatarkus/Getty Images
yapman gerektiğini biliyorsun akıllı telefonunu sil ya da dizüstü bilgisayarı tekrar satmadan ya da kuzeninize vermeden önce. Ne de olsa, orada sizin kontrolünüzde kalması gereken pek çok değerli kişisel veri var. İşletmeler ve diğer kurumlar da aynı yaklaşımı benimsemeli, yanlış ellere geçmemesi için kişisel bilgisayarlardan, sunuculardan ve ağ ekipmanlarından bilgilerini silmelidir. Gelecek hafta San Francisco’da yapılacak RSA güvenlik konferansında, güvenlik firması ESET’ten araştırmacılar, mevcut bulgular test için satın aldıkları ikinci el kurumsal yönlendiricilerin yarısından fazlasının önceki sahipleri tarafından tamamen sağlam bırakıldığını gösteriyor. Ve cihazlar, ait oldukları kurumlarla ilgili ağ bilgileri, kimlik bilgileri ve gizli verilerle doluydu.
Araştırmacılar, üç ana satıcı tarafından üretilen farklı modellerde 18 adet kullanılmış yönlendirici satın aldı: Cisco, Fortinet ve Juniper Networks. Bunlardan dokuzu, sahiplerinin bıraktığı gibiydi ve tamamen erişilebilirdi, sadece beşi ise düzgün bir şekilde silinmişti. İkisi şifrelenmişti, biri ölmüştü ve biri başka bir cihazın ayna kopyasıydı.
Korunmayan dokuz cihazın tümü, kuruluşun VPN’si için kimlik bilgileri, başka bir güvenli ağ iletişim hizmeti için kimlik bilgileri veya hashlenmiş kök yönetici parolaları içeriyordu. Ve hepsi, yönlendiricinin önceki sahibinin veya operatörünün kim olduğunu belirlemeye yetecek kadar tanımlayıcı veri içeriyordu.
Dokuz korumasız cihazdan sekizi, yönlendiriciden yönlendiriciye kimlik doğrulama anahtarları ve yönlendiricinin önceki sahibi tarafından kullanılan belirli uygulamalara nasıl bağlandığı hakkında bilgi içeriyordu. Dört cihaz, güvenilir iş ortakları, ortak çalışanlar veya diğer üçüncü taraflar gibi diğer kuruluşların ağlarına bağlanmak için kimlik bilgilerini açığa çıkardı. Üçü, bir varlığın önceki sahibin ağına üçüncü taraf olarak nasıl bağlanabileceği hakkında bilgi içeriyordu. Ve ikisi doğrudan müşteri verilerini içeriyordu.
Projeyi yöneten ESET güvenlik araştırmacısı Cameron Camp, “Bir çekirdek yönlendirici kuruluştaki her şeye dokunur, bu nedenle kuruluşun uygulamaları ve karakteri hakkında her şeyi biliyorum; kuruluşun kimliğine bürünmeyi çok ama çok kolaylaştırıyor” diyor. “Bir vakada, bu büyük grup, çok büyük muhasebe firmalarından biri hakkında ayrıcalıklı bilgiye ve onlarla doğrudan bir akran ilişkisine sahipti. Ve burası benim için gerçekten korkutucu olmaya başladığı yer, çünkü biz araştırmacıyız, yardım etmek için buradayız, ama o yönlendiricilerin geri kalanı nerede?”