Компания ESET ― лидер в области информационной безопасности ― опубликовала новое исследование устройств корпоративной сети, проданных на вторичном рынке. Просмотрев данные конфигурации 16 различных сетевых устройств, специалисты ESET обнаружили, что более 56%, а именно девять роутеров, содержали конфиденциальные данные компаний.
Из девяти роутеров с данными конфигурации:
- 22% содержали данные клиентов
- 33% имели данные, позволяющие стороннее подключение к сети
- 44% содержали учетные данные для подключения к другим сетям в качестве доверенной стороны
- 89% имели детали подключения для определенных приложений
- 89% содержали ключи аутентификации между роутерами.
- 100% имели один или несколько учетных данных IPsec или VPN или root-паролей
- 100% имели достаточно данных для достоверной идентификации бывшего владельца/оператора.
«Результаты исследования вызывают беспокойство и должны стать предупредительным сигналом, — рассказывает Кэмерон Кэмп, исследователь ESET. — Мы ожидали, что у средних и крупных компаний будут придерживаться строгих мер безопасности в процессе прекращения эксплуатации устройств, но мы обнаружили обратное. Организациям следует понимать, что остается на уже ненужных устройствах, поскольку большинство устройств, которые мы получили на вторичном рынке, содержали цифровой план компании, включая информацию об основной сети, данные приложений, корпоративные учетные данные и информацию о партнерах, поставщиках и клиентах».
Организации часто утилизируют устаревшую технику через сторонние компании, которые отвечают за проверку безопасного уничтожения или переработку цифрового оборудования и утилизацию данных на нем. Однако из-за ошибок таких организаций или из-за несовершенных внутренних процессов утилизации самих компаний, на роутерах был найден ряд данных, в частности:
- Данные третьих сторон: как и в реальных кибератаках, слом сети одной компании может распространиться на ее клиентов, партнеров и другие связанные компании.
- Данные клиентов: в некоторых случаях роутеры указывают на внутренние или внешние хранилища информации с конкретной информацией о клиентах, что в случае получения доступа злоумышленников к этой информации может привести к проблемам безопасности.
- Конкретные приложения: в конфигурациях устройств обнаружены полные карты основных платформ приложений, которые используются отдельными организациями как локально, так и в облаке. Среди этих приложений — корпоративная электронная почта, доверенные клиентские тоннели, программы для физической безопасности зданий и другое. Кроме того, исследователи ESET смогли определить, через какие порты и с каких хостов эти программы соединяются. Благодаря детализации приложений и конкретных версий, которые используются в некоторых случаях, киберпреступники могли бы использовать известные уязвимости в сети.
- Доверенные операторы: на устройстве были загружены корпоративные учетные данные, которые потенциально можно было сломать или непосредственно использовать многократно, включая данные для входа администратора, детали VPN и криптографические ключи, позволяющие злоумышленникам беспрепятственно получать доступ в сети.
«Существуют регламентированные процессы надлежащего прекращения эксплуатации аппаратного обеспечения, и это исследование показывает, что многие компании не соблюдают их при подготовке устройств для вторичного рынка, — рассказывает Тони Анскомб, главный специалист ESET по безопасности. — Использование уязвимости или выманивание учетных данных является потенциально сложным процессом для киберпреступников. Но наше исследование показывает, что есть гораздо более простой способ получить эти данные. Мы призываем организации, занимающиеся утилизацией устройств, очисткой данных и перепродажей устройств, внимательно пересмотреть свои процессы и убедиться, что они соответствуют действующим стандартам NIST».
Роутеры в этом исследовании принадлежали разным организациям — от среднего бизнеса до крупных предприятий в различных отраслях (центры обработки данных, юридические фирмы, сторонние поставщики технологий, производственные и технологические компании, а также разработчики программного обеспечения). В рамках процесса обнаружения специалисты ESET, где это было возможно, делились выводами с каждой идентифицированной организацией. Некоторые из этих организаций не реагировали на неоднократные попытки ESET связаться с ними, в то время как другие рассматривали событие как полномасштабное нарушение безопасности.
Поэтому организациям следует убедиться, что они используют проверенную и компетентную компанию для утилизации устройств или принимают все необходимые меры предосторожности при самостоятельном выводе из эксплуатации. Это касается не только роутеров и жестких дисков, но и любого устройства, являющегося частью сети. Учитывая это, организациям рекомендуется следовать указаниям производителя по удалению всех данных из устройства перед тем, как устройство покинет пределы корпоративной сети.
Также компаниям следует серьезно относиться к сообщениям об утечке важных данных. В противном случае они могут столкнуться с серьезной утечкой данных и значительным репутационным ущербом в дальнейшем.
Подробное исследование читайте по ссылке.