.
Como os equipamentos de segunda mão são descontados, seria potencialmente viável para os cibercriminosos investir na compra de dispositivos usados para minerá-los em busca de informações e acesso à rede e, em seguida, usar as próprias informações ou revendê-las. Os pesquisadores da ESET dizem que debateram se divulgariam suas descobertas, porque não queriam dar novas ideias aos cibercriminosos, mas concluíram que aumentar a conscientização sobre o problema é mais urgente.
“Uma das grandes preocupações que tenho é que, se alguém mal não é fazer isso é quase negligência de hacker, porque seria muito fácil e óbvio”, diz Camp.
Dezoito roteadores é uma pequena amostra dos milhões de dispositivos de rede corporativa que circulam pelo mundo no mercado de revenda, mas outros pesquisadores dizem que também viram repetidamente os mesmos problemas em seu trabalho.
“Compramos todos os tipos de dispositivos incorporados on-line no eBay e em outros vendedores de segunda mão e vimos muitos que não foram apagados digitalmente”, diz Wyatt Ford, gerente de engenharia da Red Balloon Security, uma empresa de internet das coisas empresa de segurança. “Esses dispositivos podem conter grande quantidade de informações que podem ser usadas por pessoas mal-intencionadas para direcionar e realizar ataques.”
Como nas descobertas da ESET, a Ford diz que os pesquisadores do Red Balloon encontraram senhas e outras credenciais e informações de identificação pessoal. Alguns dados, como nomes de usuário e arquivos de configuração, geralmente estão em texto simples e são facilmente acessíveis, enquanto senhas e arquivos de configuração geralmente são protegidos porque são armazenados como hashes criptográficos embaralhados. Mas Ford aponta que mesmo os dados com hash ainda estão potencialmente em risco.
“Pegamos hashes de senha encontrados em um dispositivo e os quebramos offline – você ficaria surpreso com quantas pessoas ainda baseiam suas senhas em seus gatos”, diz ele. “E mesmo coisas que parecem inócuas, como código-fonte, histórico de commits, configurações de rede, regras de roteamento etc., podem ser usadas para aprender mais sobre uma organização, seu pessoal e sua topologia de rede.”
Os pesquisadores da ESET apontam que as organizações podem pensar que estão sendo responsáveis por contratar empresas externas de gerenciamento de dispositivos. empresas de descarte de lixo eletrônico ou mesmo serviços de higienização de dispositivos que alegam limpar grandes lotes de dispositivos corporativos para revenda. Mas, na prática, esses terceiros podem não estar fazendo o que afirmam. E Camp também observa que mais organizações poderiam aproveitar a criptografia e outros recursos de segurança que já são oferecidos pelos roteadores convencionais para mitigar as consequências se os dispositivos que não foram apagados acabarem soltos no mundo.
Camp e seus colegas tentaram entrar em contato com os antigos proprietários dos roteadores usados que compraram para avisá-los de que seus dispositivos agora estavam soltos, vomitando seus dados. Alguns ficaram gratos pela informação, mas outros pareceram ignorar os avisos ou não ofereceram nenhum mecanismo pelo qual os pesquisadores pudessem relatar descobertas de segurança.
“Usamos canais confiáveis que tínhamos para algumas empresas, mas depois descobrimos que muitas outras empresas são muito mais difíceis de conseguir”, diz Camp. “Assustadoramente.”
.
