中古の機器は値引きされているため、サイバー犯罪者が中古のデバイスを購入して情報やネットワーク アクセスをマイニングし、その情報を自分で使用したり転売したりする可能性があります。 ESET の研究者は、サイバー犯罪者に新しいアイデアを与えたくなかったため、調査結果を公開するかどうかを議論したと述べていますが、この問題についての意識を高めることがより差し迫ったものであると結論付けました。
「私が抱えている大きな懸念の 1 つは、 ではない これを行うことは、非常に簡単で明白であるため、ほとんどハッカーの過失です」と Camp 氏は言います。
18 台のルーターは、再販市場で世界中に流通している数百万台のエンタープライズ ネットワーキング デバイスのごく一部にすぎませんが、他の研究者も同じ問題を繰り返し見ていると述べています。
「eBay やその他の中古品販売業者であらゆる種類の組み込みデバイスをオンラインで購入しましたが、デジタル ワイプされていないものを数多く見てきました」警備会社。 「これらのデバイスには、悪意のある人物が標的を定めて攻撃を実行する際に使用できる大量の情報が含まれている可能性があります。」
Ford 氏は、ESET の調査結果と同様に、Red Balloon の研究者がパスワードやその他の資格情報、個人を特定する情報を発見したと述べています。 ユーザー名や構成ファイルなどの一部のデータは通常、プレーンテキストで簡単にアクセスできますが、パスワードや構成ファイルは、スクランブルされた暗号化ハッシュとして保存されるため、保護されることがよくあります。 しかし Ford は、ハッシュ化されたデータでさえ危険にさらされる可能性があると指摘しています。
「私たちはデバイスで見つかったパスワード ハッシュを取得し、オフラインでクラックしました。いまだに多くの人が自分の猫に基づいてパスワードを作成していることに驚かれることでしょう」と彼は言います。 「そして、ソース コード、コミット履歴、ネットワーク構成、ルーティング ルールなどのように無害に見えるものでさえ、組織、その人々、およびそのネットワーク トポロジーについてより多くを学ぶために使用できます。」
ESET の研究者は、外部のデバイス管理会社と契約することで、組織が責任を負っていると考えている可能性があると指摘しています。 電子廃棄物処理会社、または再販のために大量のエンタープライズ デバイスを消去すると主張するデバイス サニタイズ サービスさえも。 しかし実際には、これらの第三者は、彼らが主張することを行っていない可能性があります。 また、Camp 氏は、より多くの組織が、主流のルーターがすでに提供している暗号化やその他のセキュリティ機能を利用して、ワイプされていないデバイスが世界中で紛失した場合の影響を軽減できる可能性があると指摘しています。
キャンプと彼の同僚は、購入した中古ルーターの古い所有者に連絡を取り、デバイスがデータを吐き出していることを警告しようとしました。 情報に感謝する人もいれば、警告を無視したり、研究者がセキュリティ上の発見を報告できるメカニズムを提供したりしなかったように見える人もいました。
「一部の企業には信頼できるチャネルを使用しましたが、他の多くの企業は把握するのがはるかに難しいことがわかりました」と Camp 氏は言います。 「恐ろしいことに」