A estudante de ciência da computação e economia e auto-descrita “entusiasta da segurança” de Eric Daigle, poucos minutos de curiosidade, enquanto aguardava uma balsa levou à descoberta de centenas de interfaces públicas da net que permitem ver exatamente quem mora em um bloco de apartamentos-e remotamente desbloqueado suas portas sob demanda.
“Há alguns meses, eu estava a caminho de pegar o Seabus quando passei por um prédio com um painel de controle de acesso interessante”, explica Daigle. “Eu escrevi a marca ‘Mesh by Visconde’ e fiz uma anotação para analisá -la quando tive uma likelihood. Acabei perdendo minha balsa (as cabeças de 30 minutos de domingo são brutais), então decidi ver se eu poderia encontrar qualquer coisa promissora no meu telefone enquanto esperava à beira -mar para o próximo barco. “
Um nome de usuário padrão fixo e senha expõem os moradores de apartamentos a roubo de informações pessoais e risco de roubo, descobriu um aluno. (📷: Eric Daigle)
Pesquisando mais informações na Internet Open, Daigle descobriu um guia de instalação para o sistema de entrada – que incluía instruções sobre o login em uma interface da Internet para configuração, monitoramento e controle. Uma pesquisa adicional descobriu o fato de que existem centenas desses sistemas com suas interfaces na net expostas ao mundo-e muitas das quais ainda usam o nome de usuário e a senha padrão, definido pelo fabricante, compartilhados em todos os modelos e escritos em texto simples No guia de instalação.
“Expor o painel à Web é burro, mas felizmente nenhum desses sistemas estava acessível usando o DEF – apenas brincando”, escreve Daigle. “O primeiro resultado alegremente me deixa entrar com a liberdade: login de visconde. A primeira coisa interessante aqui é a seção de usuários. Os nomes completos dos residentes dos mapas em seus números de unidade. O endereço de construção também é usado como o título do website. Isso já é Não é ótimo, mas é pior em conjunto com a seção de eventos. de Unidade 999, 123 Bear St Vancouver BC chega em casa todos os dias às 18h. “
Ter acesso a essas informações pessoais de nada mais do que algumas pesquisas no Google é ruim, inegavelmente, mas o mesmo login fornece acesso a mais: um sistema de controle que permite ao usuário registrar novos FOBs de acesso, desativar FOBs existentes ou alteração que Os pisos FOBs podem acessar. “O sistema para isso é um pouco complicado”, observa Daigle. “Felizmente, não preciso entender nada, porque posso desbloquear qualquer entrada que eu queira através de uma função de substituição. Para que eu possa entrar nesse edifício em cerca de cinco minutos sem atrair nenhuma atenção.
Além de expor informações pessoais, a interface da Internet fornece uma maneira de travar e desbloquear qualquer porta remotamente. (📷: Eric Daigle)
Daigle estendeu a mão para Hirsch, uma subsidiária do grupo VitaProtech e atual fornecedor do sistema de controle de portas de malha, com suas descobertas, mas foi informado de que a empresa não considera uma vulnerabilidade como suas próprias recomendações são alterar o nome de usuário e a senha padrão quando a o sistema está instalado. O Vitaprotech foi contatado para comentar, mas não respondeu às nossas perguntas no momento da publicação.
Mais informações estão disponíveis na redação de Daigle.