Các khu chung cư bị đột nhập bằng điện thoại trong vài phút
Nhiều khu căn hộ sử dụng hệ thống intercom kết nối internet vẫn giữ thông tin đăng nhập mặc định, dễ dàng bị truy cập bởi những người biết cách tìm kiếm. Chẳng hạn, lập trình viên Eric Daigle đã dễ dàng xâm nhập vào hệ thống quản lý tòa nhà, cho phép anh mở khóa bất kỳ cửa căn hộ nào từ xa. Daigle phát hiện ra lỗ hổng này trong hệ thống an ninh IoT Hirsch Enterphone Mesh, một sản phẩm được sử dụng rộng rãi ở Canada.
Internet of Things đã trở thành một phần quan trọng trong các hệ thống an ninh tòa nhà hiện đại, bao gồm cả các khu chung cư, nhằm thay thế các đường dây điện thoại để quản lý quyền truy cập vào các lối vào an toàn. Chẳng hạn, hệ thống Mesh của Hirsch có một cổng trực tuyến để theo dõi và ghi lại tất cả các thẻ khóa sử dụng trong tòa nhà và cho phép truy cập từ xa vào các cửa khóa. Tuy nhiên, trang web và thông tin đăng nhập mặc định dễ dàng tìm thấy trong hướng dẫn sử dụng của hệ thống, chỉ cần tìm kiếm trên Google.
Trong khi chờ xe buýt, Daigle đã tìm kiếm tên sản phẩm của một thiết bị an ninh căn hộ gần đó, tìm thấy hướng dẫn sử dụng và xác định cách để đột nhập vào tòa nhà chỉ trong vài phút. Hướng dẫn sử dụng của Hirsch và phản hồi chính thức với TechCrunch cho rằng người dùng nên thay đổi thông tin đăng nhập mặc định sau khi triển khai hệ thống. Tuy nhiên, vì không có hướng dẫn về cách thực hiện điều này trong tài liệu, người dùng ít có khả năng thực hiện bước bảo mật quan trọng này, điều đã gây ra nhiều lỗ hổng từ khi bắt đầu có an ninh mạng.
Chỉ cần tìm kiếm tên trang đăng nhập quản trị của các hệ thống bảo mật IdentivHirsch và nhập thông tin đăng nhập mặc định, bạn có thể dễ dàng truy cập vào bất kỳ hệ thống nào do Hirsch sản xuất. Khi vào trang chính của bảng điều khiển bảo mật, bạn có thể thấy tên đầy đủ của cư dân, số phòng và số điện thoại của họ. Ngoài ra, còn có một bản ghi nhiều năm về mọi lần kích hoạt thẻ từ trong tòa nhà, cho phép những kẻ xấu phát hiện ra các mẫu ra vào của từng thành viên trong khu phức hợp.
Nếu thông tin đó không đủ, người dùng có thể mở bất kỳ cửa nào trong khu phức hợp từ cùng một cổng web. Qua một truy vấn nhanh trên ZoomEye, Daigle nhận thấy gần 100 khu căn hộ sử dụng hệ thống Hirsch bị ảnh hưởng và dễ bị tấn công, chủ yếu ở Canada. Hirsch đã xác nhận với truyền thông rằng họ sẽ không khắc phục lỗ hổng bảo mật này, được xếp hạng 1010 Nhập nhằng trên Cơ sở Dữ liệu Lỗ hổng Quốc gia.
Hirsch khẳng định rằng người dùng cuối phải tự thay đổi thông tin đăng nhập mặc định, nhưng không cung cấp hướng dẫn cụ thể trong tài liệu. Họ cũng cho biết sẽ không thông báo cho người dùng bị ảnh hưởng về lỗ hổng này. Những người quan tâm tại nơi làm việc, trường học hoặc căn hộ sử dụng hệ thống an ninh Hirsch MESH (có thể được gán nhãn là Viscount hoặc Enterphone, tùy theo mẫu) nên liên hệ với quản lý tòa nhà để đảm bảo rằng thông tin đăng nhập mặc định đã được thay đổi.
Nhờ vào IoT, chúng ta có thể bỏ qua chìa khóa vật lý và cho phép người khác truy cập vào nhà từ xa chỉ cần có điện thoại và khả năng tìm kiếm trên Google.
Nguồn: www.tomshardware.com/tech-industry/cyber-security/apartment-buildings-broken-into-with-phone-in-minutes-iot-connected-intercoms-using-default-creds-vulnerable-to-anyone-with-google