Intenet of Things: Køleanlæg i madbutikker og sygehuse ligger frit tilgængelige på nettet

Illustration: screenshot from Shodan’s search engine
Installeret med standardpassword, som ikke er blevet skiftet.

To sikkerhedsforskere fra Safety Detective har brugt søgetjenesten Shodan til at finde frem til en række temperaturkontrolsystemer, som enkelt kan angribes via internettet. Fælles for alle systemerne er, at de er leveret af selskabet Resource Data Management.

Ifølge Safety Detective bruges systemerne til at kontrollere køle- og fryseanlæg på blandt andet sygehuse og i supermarkeder i en række lande, blandt andet i Australien, Island, Israel, Malaysia, Holland, Storbritannien og Tyskland.

Har ikke skiftet password

I lighed med meget andet af det, der omtales som 'tingenes internet', er de aktuelle kontrolsystemer udstyret med et standardbrugernavn og et ubrugeligt standardpassword, ‘1234’.

Ifølge Resource Data Management oplyses det i dokumentationen, at standardpasswordet skal udskiftes under installationen, men tydeligvis er det ikke et krav. Ifølge Safety Detective bliver det sjældent ændret af systemadministratorerne.

Kun HTTP

Alle systemerne er tilgængelige via ikke-krypteret HTTP. Netværksporten, som benyttes, er normalt 9000, men det kan variere. I nogle tilfælde er det port 80, der benyttes, altså standardporten til HTTP.

Rapporten blev publiceret tirsdag i denne uge. Oprindeligt skrev Safety Detective, at det drejede sig om mere end 7.400 installationer, men som følge af kritik af metoden har selskabet senere nedjusteret tallet til 319 lokationer. Hver af disse anslås at have i gennemsnit 33 køle- eller fryseenheder.

I en udtalelse fra Resource Data Management, som Safety Detective har gengivet, oplyser selskabet, at det ikke har nogen kontrol over, hvordan systemerne bliver installeret. Selskabet oplyser desuden, at det nu har sendt en påmindelse til alle kendte kunder, installatører og distributører om vigtigheden af at udskifte standardbrugernavn og -password.

Artiklen er fra digi.no

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (2)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Albert Nielsen

Man kunne forestille sig, at SW blev ændret, sådan at standardSysAdmnavn og standardpasordet kun kan anvendes under installationen, subsidiært i 24 timer. Derefter tvunget skift fra 'admin' o.l. + 'qwerty12345' til et adminbrugernavn + et pasord, som begge testes og afvises indtil de er ret sikre.

  • 1
  • 0
Log ind eller Opret konto for at kommentere