Análise a routers empresariais usados identifica dados de antigos donos
A ESET analisou um conjunto de dispositivos de redes empresariais que foram descartados e revendidos no mercado de usados e concluiu que 56% (em 16 analisados) continham dados empresariais sensíveis.
A investigação chama a atenção para a importância de seguir protocolos e processos de segurança adequados quando as empresas se desfazem de hardware, como sublinha a empresa de segurança.
Mais em detalhe, a avaliação identificou nove dispositivos de rede com dados de configuração completos disponíveis. Verificou que 22% continham dados de clientes;
33% expunham dados que permitiam ligações de terceiros à rede e 44% possuíam credenciais, para se ligar a outras redes como uma “trusted party”. A quase totalidade dos dispositivos (89%) detalhavam informações de ligação para aplicações específicas ou continham chaves de autenticação “router-to-router”. Todos continham uma ou mais credenciais IPsec ou VPN, ou palavras-passe root “hashed”, e tinham dados suficientes para identificar de forma fiável o antigo proprietário/operador.
Como aprofunda uma nota de imprensa, em aplicações específicas foram identificados mapas completos das principais plataformas de aplicação, utilizadas por organizações específicas. Como acrescenta a ESET, «devido à granularidade das aplicações e às versões específicas utilizadas em alguns casos, as vulnerabilidades conhecidas poderiam ser exploradas através da topologia da rede que um atacante já teria mapeado.
A ESET sublinha que as organizações descartam frequentemente tecnologia antiga, através de empresas que ficam encarregadas de verificar a destruição, ou assegurar o descarte seguro do equipamento e a eliminação dos dados nele contidos. Seja por erro das empresas de e-waste, ou dos próprios processos de eliminação da empresa, a verdade é que esta investigação permitiu encontrar vários dados em routers, que não deviam de lá estar.
Em reação às conclusões do estudo, a empresa de segurança sublinha a importância de verificar se estão ser utilizados serviços de uma empresa third-party competente para eliminar os dispositivos, ou se estão a ser tomadas todas as precauções necessárias caso seja a própria organização a tratar desse descarte.
Refere ainda que, «esse procedimento deve estender-se não só a routers e discos rígidos, mas também a qualquer dispositivo que faça parte da rede. A empresa tem um white paper sobre o tema que pode ser consultado.
Publicado em:
AtualidadePartilhe nas Redes Sociais