Satmadan veya kuzeninize vermeden önce akıllı telefonunuzu veya dizüstü bilgisayarınızı silmeniz gerektiğini biliyorsunuz. Ne de olsa, orada sizin kontrolünüzde kalması gereken pek çok değerli kişisel veri var. İşletmeler ve diğer kurumlar da aynı yaklaşımı benimsemeli, yanlış ellere geçmemesi için kişisel bilgisayarlardan, sunuculardan ve ağ ekipmanlarından bilgilerini silmelidir. Ancak güvenlik firması ESET’ten araştırmacılar, önümüzdeki hafta San Francisco’da yapılacak RSA güvenlik konferansında, test için satın aldıkları ikinci el kurumsal yönlendiricilerin yarısından fazlasının önceki sahipleri tarafından tamamen sağlam bırakıldığını gösteren bulguları sunacaklar. Ve cihazlar, ait oldukları kurumlarla ilgili ağ bilgileri, kimlik bilgileri ve gizli verilerle doluydu.
Araştırmacılar, üç ana satıcı tarafından üretilen farklı modellerde 18 adet kullanılmış yönlendirici satın aldı: Cisco, Fortinet ve Juniper Networks. Bunlardan dokuzu, sahiplerinin bıraktığı gibiydi ve tamamen erişilebilirdi, sadece beşi ise düzgün bir şekilde silinmişti. İkisi şifrelenmişti, biri ölmüştü ve biri başka bir cihazın ayna kopyasıydı.
Korunmayan dokuz cihazın tümü, kuruluşun VPN’si için kimlik bilgileri, başka bir güvenli ağ iletişim hizmeti için kimlik bilgileri veya karma kök yönetici parolaları içeriyordu. Ve hepsi, yönlendiricinin önceki sahibinin veya operatörünün kim olduğunu belirlemeye yetecek kadar tanımlayıcı veri içeriyordu.
Dokuz korumasız cihazdan sekizi, yönlendiriciden yönlendiriciye kimlik doğrulama anahtarları ve yönlendiricinin önceki sahibi tarafından kullanılan belirli uygulamalara nasıl bağlandığı hakkında bilgi içeriyordu. Dört cihaz, güvenilir iş ortakları, ortak çalışanlar veya diğer üçüncü taraflar gibi diğer kuruluşların ağlarına bağlanmak için kimlik bilgilerini açığa çıkardı. Üçü, bir varlığın önceki sahibin ağına üçüncü taraf olarak nasıl bağlanabileceği hakkında bilgi içeriyordu. Ve ikisi doğrudan müşteri verilerini içeriyordu.
Projeyi yöneten ESET güvenlik araştırmacısı Cameron Camp, “Bir çekirdek yönlendirici kuruluştaki her şeye dokunur, bu nedenle kuruluşun uygulamaları ve karakteri hakkında her şeyi biliyorum; kuruluşun kimliğine bürünmeyi çok ama çok kolaylaştırıyor” diyor. “Bir vakada, bu büyük grup, çok büyük muhasebe firmalarından biri hakkında ayrıcalıklı bilgiye ve onlarla doğrudan bir akran ilişkisine sahipti. Ve burası benim için gerçekten korkutucu olmaya başladığı yer, çünkü biz araştırmacıyız, yardım etmek için buradayız, ama o yönlendiricilerin geri kalanı nerede?”