De antivirussoftwareleverancier ESET onthult vandaag een nieuw onderzoek naar bedrijfsnetwerkapparatuur die werd vervangen en verkocht op de tweedehandsmarkt. Na het bekijken van de configuratiegegevens van 16 verschillende refurbished netwerkapparaten, ontdekte ESET dat meer dan 56% – maar liefst 9 routers – gevoelige bedrijfsgegevens bevatten. Het is schokkend om te lezen dat verkopers van tweedehands routers zo slordig omgaan met configuratiedata, zeker als je de resultaten vergelijkt met bijvoorbeeld hoe verkopers van gebruikte smartphones hiermee omgaan. Het lijkt erop dat de routers alleen zijn schoongemaakt en opnieuw verpakt. Gebruikte telefoons worden gecontroleerd met speciale software waarmee alle gegevens worden verwijderd.
Volgens het onderzoek van ESET bevatten deze 9 routers:
• In 22% van de gevallen klantgegevens;
• In 33% van de gevallen gegevens die verbindingen van derden met het netwerk mogelijk maakten;
• In 44% van de gevallen referenties om als vertrouwde partij verbinding te maken met andere netwerken;
• In 89% van de gevallen waren de verbindingsgegevens voor specifieke toepassingen gespecificeerd;
• 89% router-naar-router verificatiesleutels;
• 100% een of meer IPsec- of VPN-referenties, of gehashte root-wachtwoorden;
• 100% voldoende gegevens om de voormalige eigenaar/gebruiker met zekerheid te kunnen identificeren.
“De potentiële impact van onze bevindingen is uiterst verontrustend en zou een wake-up call moeten zijn,” aldus Cameron Camp, de ESET-onderzoeker die het project leidde. “We zouden verwachten dat middelgrote tot enterprise bedrijven een strikte set aan beveiligingsinitiatieven hebben om apparaten buiten gebruik te stellen, maar we zagen het tegenovergestelde. Organisaties zouden zich veel bewuster moeten zijn van wat er overblijft op de apparaten die ze buiten gebruik stellen. Een meerderheid van de apparaten die we tweedehands verkregen bevatte namelijk een digitale blauwdruk van het betrokken bedrijf. Dit was inclusief, maar niet beperkt tot essentiële netwerkinformatie, applicatiegegevens, bedrijfsgegevens en informatie over partners, verkopers en klanten.”
