ESET achète des routeurs d’occasion et découvre des secrets d’entreprises

ESET, le 1er éditeur Européen de solutions de sécurité, a dévoilé aujourd’hui une nouvelle étude sur les appareils réseau d’entreprises mis hors service et vendus d’occasion. Après avoir examiné les données de configuration de 16 appareils distincts, ESET a constaté que plus de 56 % d’entre eux, soit 9 routeurs, contenaient des données d’entreprise sensibles.

Des données d’entreprise sensibles découvertes sur 9 routeurs

Sur les 9 réseaux dont les données de configuration complètes étaient accessibles :

  • 22% contenaient des données sur les clients
  • 33% exposaient des données permettant à des tiers de se connecter au réseau
  • 44% disposaient d’identifiants pour se connecter à d’autres réseaux en tant que tiers de confiance
  • 89% contenaient des détails de connexion pour des applications spécifiques
  • 89% contenaient des clés d’authentification de routeur à routeur
  • 100% contenaient un ou plusieurs identifiants de VPN ou IPsec, ou des hash de mots de passe root
  • 100% disposaient de données suffisantes pour identifier l’ancien propriétaire/exploitant avec certitude

Les données découvertes sur les équipements entrent dans ces catégories :

  • Informations de tiers de confiance.
  • Données sur les clients.
  • Données d’applications spécifiques.
  • Informations complètes sur le routage central.
  • Données d’usurpation d’opérateurs de confiance.

Un schéma numérique détaillé de l’entreprise concernée

« L’impact potentiel de nos découvertes est extrêmement préoccupant et devrait faire l’effet d’un coup de semonce, » a déclaré Cameron Camp, le chercheur d’ESET qui a dirigé le projet. « Nous nous attendions à ce que les entreprises de taille moyenne et les grandes entreprises disposent d’un ensemble de protocoles de sécurité stricts pour mettre les appareils hors service, mais nous avons constaté le contraire. Les organisations doivent être beaucoup plus conscientes de ce qui reste sur les appareils qu’elles mettent hors service, étant donné qu’une majorité des appareils d’occasion que nous avons obtenus contenaient un schéma numérique détaillé de l’entreprise concernée, notamment des informations réseau essentielles, des données d’applications, des identifiants de l’entreprise et des informations sur les partenaires, les fournisseurs et les clients. »

Lors du RSA 2023, MM. Camp et Anscombe interviendront sur cette étude lors de la présentation « We (Could Have) Cracked Open the Network for Under $100 », le 24 avril 2023 à 9h40 PT.

Les articles récents

- Advertisement -

Les plus lus

A lire également

- Advertisement -