您的位置: 首頁(yè) >互聯(lián)網(wǎng) >

WeWork薄弱的Wi-Fi安全性使敏感文檔暴露在外

2022-08-28 22:38:01 編輯:范威葉 來(lái)源:
導(dǎo)讀 當(dāng)Teemu Airamo搬到公司在共享工作區(qū)提供商WeWork中位于曼哈頓的新辦公室時(shí),他的首要任務(wù)是:對(duì)大樓的Wi-Fi網(wǎng)絡(luò)進(jìn)行安全掃描。畢竟,他與...

當(dāng)Teemu Airamo搬到公司在共享工作區(qū)提供商WeWork中位于曼哈頓的新辦公室時(shí),他的首要任務(wù)是:對(duì)大樓的Wi-Fi網(wǎng)絡(luò)進(jìn)行安全掃描。畢竟,他與200多家在金融區(qū)中心共同工作的公司共享了一個(gè)空間,不想讓任何人窺探。

那是2015年5月,Airamo的數(shù)字媒體公司正在處理合同和敏感文件。他承受不起被黑客入侵的負(fù)擔(dān)。因此,當(dāng)他看到大樓網(wǎng)絡(luò)上完全可見其他數(shù)百家公司的設(shè)備和財(cái)務(wù)記錄時(shí),Airamo感到震驚。

他說(shuō):“對(duì)我來(lái)說(shuō),這幾乎是'天哪'。” 他回憶起立即去找WeWork社區(qū)經(jīng)理,并展示了影響該建筑物中所有人員的安全漏洞。

“我說(shuō),'你知道我們實(shí)際上可以看到這一切嗎?' 他回憶說(shuō):“答案是,是的,嗯。”

四年多以后,在多次嘗試聯(lián)系WeWork(包括其高層管理人員)之后,一切都沒(méi)有改變。Airamo之所以知道這一點(diǎn),是因?yàn)樗ㄆ谠赪eWork網(wǎng)絡(luò)上運(yùn)行Wi-Fi掃描,并從其辦公室周圍的公司中查找財(cái)務(wù)記錄,商業(yè)交易,客戶數(shù)據(jù)庫(kù)和電子郵件。

CNET審查了掃描結(jié)果,其中658臺(tái)設(shè)備(包括計(jì)算機(jī),服務(wù)器和咖啡機(jī))暴露在WeWork的網(wǎng)絡(luò)上,泄漏出了“天文數(shù)字”的數(shù)據(jù)。

WeWork的Wi-Fi安全性的脆弱性在8月的《快速公司》(Fast Company)報(bào)告中首次曝光,而這對(duì)于WeWork來(lái)說(shuō)是個(gè)尷尬的時(shí)刻,在周二,由于投資者對(duì)其價(jià)值提出疑問(wèn),WeWork 推遲了其計(jì)劃的首次公開募股。它還突顯了共享工作區(qū)以及與其他人共享您的Wi-Fi網(wǎng)絡(luò)日益普及的缺點(diǎn)之一。

公共Wi-Fi 一直是安全問(wèn)題,這就是為什么人們建議不要在酒店,咖啡廳和機(jī)場(chǎng)使用開放式網(wǎng)絡(luò)。但是,當(dāng)它在諸如WeWork之類的協(xié)同工作空間中建立網(wǎng)絡(luò)時(shí),風(fēng)險(xiǎn)就更大了,那里有數(shù)百家企業(yè)為此付費(fèi),并依賴該建筑物的便利設(shè)施,包括互聯(lián)網(wǎng)接入。

在WeWork的網(wǎng)站上,“超高速互聯(lián)網(wǎng)”是第一個(gè)列出的便利設(shè)施,但是安全性在任何地方都沒(méi)有提及。更糟糕的是,WeWork廣闊的土地上的多個(gè)位置都為其Wi-Fi網(wǎng)絡(luò)使用完全相同的密碼。

MerchGo首席技術(shù)官,安全研究員邁克·斯派塞(Mike Spicer)說(shuō):“如果您使用的是開放網(wǎng)絡(luò),則該信息可能會(huì)泄漏出去。”他在黑客大會(huì)上花了多年時(shí)間監(jiān)視開放的Wi-Fi網(wǎng)絡(luò)。“對(duì)于任何能夠看到該數(shù)據(jù)的人來(lái)說(shuō),基本上都是開放供選擇的。”

WeWork無(wú)法透露有關(guān)Airamo投訴的詳細(xì)信息,理由是政府在即將進(jìn)行的IPO中規(guī)定了平靜的時(shí)期。但是它提供了對(duì)其安全策略的全面防御。

WeWork發(fā)言人在一份聲明中說(shuō):“ WeWork認(rèn)真對(duì)待會(huì)員的安全和隱私,我們致力于保護(hù)會(huì)員免受數(shù)字和物理威脅的侵害。” “除了我們的標(biāo)準(zhǔn)WeWork網(wǎng)絡(luò)外,我們還為成員提供選擇各種增強(qiáng)的安全性功能的選項(xiàng),例如私有VLAN,私有SSID或?qū)S玫亩说蕉宋锢砭W(wǎng)絡(luò)堆棧。”

WeWork的更高安全措施不是免費(fèi)的。專用VLAN每月額外花費(fèi)$ 95,另加$ 250的安裝費(fèi)。根據(jù)該公司的網(wǎng)站,私人辦公室網(wǎng)絡(luò)每月的費(fèi)用為195美元。

批評(píng)者認(rèn)為應(yīng)該包括保護(hù)。

Spicer說(shuō):“為用戶提供軟件包中包含的基準(zhǔn)安全級(jí)別是合理的。”

擔(dān)心

WeWork是一家房地產(chǎn)公司,通過(guò)為初創(chuàng)企業(yè)和其他企業(yè)出租共享的辦公空間而大受歡迎。根據(jù)其網(wǎng)站,它在全球125個(gè)城市中擁有833多個(gè)地點(diǎn)。

該公司于2018年提交IPO申請(qǐng),并一度擁有470億美元的估值,擁有超過(guò)52.7萬(wàn)名成員出租其空間。

共享的工作空間通過(guò)其Wi-Fi網(wǎng)絡(luò)構(gòu)成了安全威脅。

就像Airamo在CNET上顯示的那樣,密碼在WeWork的應(yīng)用程序上以純文本形式顯示,幾乎和使用“密碼”一詞一樣糟糕。

他還使用相同的密碼顯示了紐約附近的多個(gè)WeWork地點(diǎn),并在加利福尼亞州的辦公室發(fā)現(xiàn)了相同的問(wèn)題。

企業(yè)IT安全人員始終擔(dān)心內(nèi)部威脅-即建筑物中的一名員工正在竊取公司數(shù)據(jù)。有了WeWork這樣的合作空間,任何人都可以成為內(nèi)部人員。

雖然WeWork主要由會(huì)員使用,但任何人都可以每天50美元的價(jià)格預(yù)訂一日通行證,或每小時(shí)25美元的會(huì)議室。那將是潛在的黑客進(jìn)入建筑物和Wi-Fi密碼的全部。

Airamo說(shuō):“每天都有數(shù)百人進(jìn)出。”

他們所需要的只是Wi-Fi嗅探設(shè)備(例如 Pineapple)或軟件(例如 Wireshark) 來(lái)收集數(shù)據(jù)。而且,WeWork的網(wǎng)絡(luò)安全性無(wú)可避免–沒(méi)有防火墻阻止流氓活動(dòng)或分隔網(wǎng)絡(luò)。

無(wú)線發(fā)現(xiàn)的秘密

Airamo偶爾在WeWork的Wi-Fi網(wǎng)絡(luò)上運(yùn)行掃描,以查看是否有任何安全措施發(fā)生更改,或者在該處工作的其他租戶是否使用了更好的保護(hù)方法。

每次,他都會(huì)看到大量敏感數(shù)據(jù)暴露在網(wǎng)絡(luò)上,除了WeWork易于破解的密碼之外,沒(méi)有任何安全措施。

Airamo說(shuō),他發(fā)現(xiàn)這些文件時(shí)沒(méi)有任何別有用心,但他指出,它是如此簡(jiǎn)單,以至于惡意黑客可以輕松地做到這一點(diǎn)。他敦促WeWork修復(fù)這些安全漏洞。

Airamo說(shuō):“我們已經(jīng)多次與WeWork的人員接觸,以解決如何實(shí)際解決此問(wèn)題。” “ 2015年第一位社區(qū)經(jīng)理最初完全否認(rèn)這是一個(gè)問(wèn)題。”

在暴露的網(wǎng)絡(luò)上共享的文件包括對(duì)人的駕駛執(zhí)照,護(hù)照,工作申請(qǐng),帳戶用戶名和密碼,合同,財(cái)務(wù)文件,訴訟和健康記錄的掃描。

Airamo說(shuō):“建筑物,金融公司,不同行業(yè)左右的公司中發(fā)生了各種各樣的事情。” “在這座大樓內(nèi),我們有許多金融公司,法律公司,還有一些隨機(jī)的電話推銷員。”

并非WeWork網(wǎng)絡(luò)上共享的所有文件都是敏感記錄。Airamo還看到了畢業(yè)照片和生日賀卡等文件,演員Nicolas Cage被編輯成看起來(lái)像只貓。

但是對(duì)于敏感文件,安全問(wèn)題對(duì)在共享辦公室空間工作的任何人都構(gòu)成了重大風(fēng)險(xiǎn)。這也影響了從未涉足WeWork但與總部設(shè)在WeWork的初創(chuàng)公司互動(dòng)的公司。

盡管兩家貸款公司在加利福尼亞和紐約設(shè)有辦事處,但仍有敏感文件泄漏到WeWork的Wi-Fi網(wǎng)絡(luò)上。其中一家公司拒絕置評(píng),而另一家公司未回應(yīng)置評(píng)請(qǐng)求。CNET保留其名稱,因?yàn)閹в袔魬{據(jù)的敏感文檔仍在WeWork的網(wǎng)絡(luò)上公開。

總部位于康涅狄格州的保險(xiǎn)公司Axa XL也從未在WeWork設(shè)有辦事處,但內(nèi)部文件通過(guò)該大樓的網(wǎng)絡(luò)公開-可能來(lái)自與該公司合作的一家初創(chuàng)公司。

“我們已經(jīng)制定了嚴(yán)格的供應(yīng)商管理計(jì)劃,其中包括審查網(wǎng)絡(luò)安全協(xié)議,” Axa XL在一份聲明中說(shuō)。“有效的網(wǎng)絡(luò)安全需要不斷改進(jìn),我們正在審查此事。”

總部位于英國(guó)的高管招聘公司漢諾威搜索集團(tuán)(Hanover Search Group)在紐約的WeWork分支機(jī)構(gòu)設(shè)有分支機(jī)構(gòu),并且在大樓網(wǎng)絡(luò)上還公開了簡(jiǎn)歷等文件。該公司拒絕置評(píng)。

可能的修復(fù)

Airamo在WeWork的Wi-Fi上發(fā)現(xiàn)安全問(wèn)題后,他開始使用VPN來(lái)保護(hù)其數(shù)據(jù)免受其他潛在窺探的影響。

但是該安全措施存在不利之處。他的公司Viveca Media定期播放歌曲和音樂(lè)視頻,而VPN大大降低了他的互聯(lián)網(wǎng)速度。使用VPN三年后,Airamo決定尋找替代方案。

他定制了一臺(tái)Raspberry Pi計(jì)算機(jī)來(lái)路由所有網(wǎng)絡(luò)流量,并通過(guò)區(qū)塊鏈ID對(duì)數(shù)據(jù)進(jìn)行身份驗(yàn)證。他發(fā)表了有關(guān)加密工作原理的白皮書,但表示他還不打算出售該系統(tǒng)。Airamo說(shuō),目前,他專注于自己的媒體公司,而安全路由器僅供內(nèi)部使用。

他說(shuō):“這對(duì)我們來(lái)說(shuō)很方便,這是我們完成工作所需要的。這并不是我們作為一家公司實(shí)際要做的事情。”

如果您在WeWork工作,則可以使用VPN來(lái)確保數(shù)據(jù)安全。但是,如果您不能處理速度較慢的互聯(lián)網(wǎng),那么還有其他潛在的解決方法。最好的選擇來(lái)自WeWork本身-如果您愿意承擔(dān)費(fèi)用。

一些酒店使用無(wú)線客戶端隔離,因此其客人無(wú)法監(jiān)視住在那里的每個(gè)人。本質(zhì)上,它阻止了位于同一Wi-Fi網(wǎng)絡(luò)上的人們能夠看到彼此的活動(dòng)。WeWork能夠提供此服務(wù),但僅提供安全性作為額外的費(fèi)用。這是紐約一個(gè)人辦公室每月720美元的月租費(fèi)用的基礎(chǔ)。

MerchGo的Spicer之前(大多數(shù)時(shí)候)已經(jīng)配置了客戶端隔離,這是一個(gè)非常簡(jiǎn)單的任務(wù)。他說(shuō):“通常,控制軟件中的設(shè)置非?,嵥?,以隔離客戶端設(shè)備與本地網(wǎng)絡(luò)之間的互通。”

獨(dú)立安全研究員,GDI基金會(huì)成員Sanyam Jain說(shuō),WeWork還可以設(shè)置防火墻來(lái)阻止Wi-Fi掃描活動(dòng)。

賈恩說(shuō):“ Wi-Fi防火墻可以持續(xù)監(jiān)視惡意流量并自動(dòng)斷開任何新的接入點(diǎn)。” “ Wi-Fi防火墻不會(huì)依賴于員工安全地使用Wi-Fi,而是會(huì)破壞不合規(guī)的會(huì)話,以防止機(jī)密數(shù)據(jù)泄露。”

另一個(gè)簡(jiǎn)單的解決方法是為每個(gè)WeWork位置設(shè)置不同的密碼。

潛在的修補(bǔ)程序?qū)⒔oWeWork帶來(lái)安全負(fù)擔(dān),而不是每天使用其網(wǎng)絡(luò)的成千上萬(wàn)的人。對(duì)于一個(gè)年輕的,熱切的創(chuàng)業(yè)公司來(lái)說(shuō),已經(jīng)有足夠的工作要做,而不必?fù)?dān)心數(shù)據(jù)的完整性。

Airamo說(shuō):“每個(gè)托管地點(diǎn)都在關(guān)注他們的業(yè)務(wù)。” “他們專注于如何經(jīng)營(yíng)自己的業(yè)務(wù),他們甚至不認(rèn)為別人可以看到他們?cè)谧鍪裁础?/p>


免責(zé)聲明:本文由用戶上傳,如有侵權(quán)請(qǐng)聯(lián)系刪除!

精彩推薦

圖文推薦

點(diǎn)擊排行

2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082   備案號(hào):閩ICP備19027007號(hào)-6

本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。