A ESET, empresa europeia líder em soluções de cibersegurança, revelou os resultados de uma nova investigação sobre dispositivos de redes empresariais que foram descartados e revendidos no mercado de usados.
ESET descobriu que mais de 56% dos dispositivos continham dados empresariais sensíveis
Depois de analisar dados de configuração de 16 dispositivos de rede distintos, a ESET descobriu que mais de 56% continham dados empresariais sensíveis. Esta investigação chama a atenção para a importância de seguir protocolos e processos de segurança adequados quando as empresas se desfazem de hardware.
Dos nove dispositivos de rede que possuíam dados de configuração completos disponíveis:
- 22% continham dados de clientes;
- 33% expunham dados que permitiam ligações de terceiros à rede;
- 44% possuíam credenciais para se ligar a outras redes como uma “trusted party”;
- 89% detalhavam informações de ligação para aplicações específicas;
- 89% continham chaves de autenticação “router-to-router”;
- 100% continham uma ou mais credenciais IPsec ou VPN, ou palavras-passe root “hashed”;
- 100% tinham dados suficientes para identificar de forma fiável o antigo proprietário/operador.
As organizações descartam frequentemente tecnologia envelhecida através de outras empresas, que são encarregadas de verificar a destruição ou descarte seguro do equipamento e a eliminação dos dados nele contidos. Quer se trate de um erro cometido por uma empresa de e-waste ou dos próprios processos de eliminação da empresa, a ESET encontrou uma série de dados nos routers, incluindo:
- Dados de terceiros: Como observado em ciberataques no mundo real, uma violação da rede de uma empresa pode proliferar para os seus clientes, parceiros e outras empresas com as quais a primeira tenha ligações;
- “Trusted parties”: As “trusted parties”, que poderiam ser personificadas como um vetor de ataque secundário, aceitariam certificados e fichas criptográficas encontradas nestes dispositivos, permitindo a um cibercriminoso com credenciais de confiança ser capaz de obter segredos empresariais, sem que as vítimas se apercebessem disso durante um longo período;
- Dados de clientes: Nalguns casos, os routers apontam para lojas de informação internas e/ou externas com informações específicas sobre os clientes dos seus proprietários, por vezes armazenadas internamente, que podem expor os clientes a potenciais problemas de segurança se um agente malicioso for capaz de obter informações específicas sobre eles;
- Aplicações específicas: Mapas completos das principais plataformas de aplicação utilizadas por organizações específicas foram encontrados por todas as configurações destes dispositivos. Devido à granularidade das aplicações e às versões específicas utilizadas em alguns casos, as vulnerabilidades conhecidas poderiam ser exploradas através da topologia da rede que um atacante já teria mapeado;
- Informação de routing extensiva: A ESET encontrou layouts completos do funcionamento interno de várias organizações, que forneceriam extensa informação de topologia de rede para posterior exploração, caso os dispositivos fossem parar às mãos de um cibercriminoso;
- Credenciais empresariais: Os dispositivos possuíam credenciais empresariais potencialmente violáveis ou diretamente reutilizáveis, incluindo logins de administrador, detalhes de VPN e chaves criptográficas, que permitiriam a agentes maliciosos tornarem-se entidades de confiança e, assim, obter acesso através da rede.
A ESET lembra às organizações da importância de verificar se estão a utilizar serviços de uma empresa third-party competente para eliminar os dispositivos, ou se estão a tomar todas as precauções necessárias caso seja a própria organização a tratar desse descarte. Esse procedimento deve estender-se não só a routers e discos rígidos, mas também a qualquer dispositivo que faça parte da rede.
A ESET recomenda ainda que as organizações sigam as diretrizes do fabricante dos seus dispositivos para remover todos os dados de um dispositivo antes de este sair fisicamente das suas instalações, o que é um passo simples que muitos funcionários de TI podem assumir.