Ευαίσθητα εταιρικά δεδομένα βρέθηκαν σε παλιά routers που μετά από απόσυρση πουλήθηκαν σε δευτερογενή αγορά. Σε έρευνα που έκανε σε 16 εταιρικές συσκευές δικτύων η εταιρεία ψηφιακής ασφάλειας ESET, διαπίστωσε ότι πάνω από το 56% αυτών περιείχαν ακόμα ευαίσθητα δεδομένα.
Οι routers της έρευνας προέρχονταν από μεσαίες επιχειρήσεις έως μεγάλες πολυεθνικές που δραστηριοποιούνται σε διάφορους κλάδους όπως δικηγορικά γραφεία, πάροχοι τεχνολογίας, κατασκευαστικές εταιρίες, εταιρείες τεχνολογίας, δημιουργικά γραφεία και εταιρείες ανάπτυξης λογισμικού.
Συγκεκριμένα, από τις 9 συσκευές που περιείχαν ακόμα ευαίσθητα δεδομένα:
- Το 22% περιείχε δεδομένα πελατών
- Το 33% περιείχε δεδομένα που επέτρεπαν συνδέσεις τρίτων στο δίκτυο
- Το 44% είχε διαπιστευτήρια για σύνδεση σε άλλα δίκτυα ως έμπιστο μέρος
- Το 89% περιείχε αναλυτικά στοιχεία σύνδεσης για συγκεκριμένες εφαρμογές
- Το 89% περιείχε κλειδιά αυθεντικοποίησης router-to-router
- Το 100% περιείχε ένα ή περισσότερα από τα διαπιστευτήρια IPsec ή VPN ή κωδικούς root.
- Το 100% είχε επαρκή δεδομένα για την αξιόπιστη ταυτοποίηση του πρώην ιδιοκτήτη/διαχειριστή
Η εταιρεία προειδοποιεί πως σε λάθος χέρια, αυτά τα δεδομένα είναι αρκετά για να πυροδοτήσουν μια κυβερνοεπίθεση που θα οδηγούσε σε παραβίαση δεδομένων, βάζοντας σε κίνδυνο την εταιρεία, τους συνεργάτες και τους πελάτες της.
«Τα ευρήματά μας είναι εξαιρετικά ανησυχητικά… Θα περιμέναμε ότι οι μεσαίου και μεγάλου μεγέθους εταιρείες θα είχαν ένα αυστηρό πρωτόκολλο ασφαλείας για την απόσυρση συσκευών, αλλά διαπιστώσαμε το αντίθετο.» δηλώνει ο Κάμερον Καμπ, ερευνητής ασφαλείας της ESET
Οι οργανισμοί συχνά ανακυκλώνουν τις παλαιές συσκευές μέσω τρίτων εταιρειών που είναι επιφορτισμένες με την επαλήθευση της ασφαλούς καταστροφής ή ανακύκλωσης του ψηφιακού εξοπλισμού και της διάθεσης των δεδομένων που περιέχονται σε αυτόν.
Είτε λόγω σφάλματος της εταιρείας ανακύκλωσης είτε λόγω των διαδικασιών απόρριψης της εταιρείας, στους εταιρικούς routers βρέθηκε μια σειρά από δεδομένα, μεταξύ των οποίων δεδομένα τρίτων, δεδομένα πελατών, εκτεταμένες πληροφορίες δρομολόγησης και πληροφορίες των σημαντικότερων εφαρμογών που χρησιμοποιούνται από συγκεκριμένους οργανισμούς, τόσο σε τοπικό επίπεδο όσο και στο νέφος.
Σημειώνεται ότι οι οργανισμοί πρέπει να χρησιμοποιούν ένα αξιόπιστο, αρμόδιο τρίτο μέρος για την απόρριψη των συσκευών ή να λαμβάνουν όλες τις απαραίτητες προφυλάξεις εάν χειρίζονται οι ίδιοι την απόσυρση. Αυτό θα πρέπει να επεκτείνεται πέρα από τους routers και τους σκληρούς δίσκους σε κάθε συσκευή που αποτελεί μέρος του δικτύου.
