Durante una intervento presso un nuovo cliente ho trovato una coppia di apparati Aethra, installati da $GrossoProvider (non il solito e nemmeno quello della fibra), in comodato d’uso. Essi forniscono fonia ISDN al centralino e connettività ADSL alla rete.
Per fortuna ho installato una appliance firewall, perché ieri sera da casa, ho scoperto che puntando un browser all’IP pubblico del cliente si apre l’interfaccia amministrativa dell’apparecchio che funge da router.
Le credenziali le ho beccate al primo tentativo: “root” con password vuota.
Non ho parole.
Commenti
11 risposte a “Sechiuriti/2”
E quelli che mette $solitoGrossoProvider? Che cambia le pw di admin ma non quelle dell’utente (il quale può attivare il forward delle porte)?
Applausi a scena aperta….
eh eh già, capitato anche a me più di una volta.
Direi che si abbina perfettamente a quanto riportato oggi da PI, secondo cui solo un *tecnico* può installare un router o un modem adsl…
Beh considera che di solito chi si impegna a sbarrarti la strada mette di solito come nome utente: admin e password: passwd o password…
E poi si lamentano che le cose non funzionano…
Dunque mi confermi che il VoIP puo’ essere attaccato ad un centralino ISDN?
Bella notizia, quando il VoIP sara’ attendibile… anzi, quando le ADSL saranno attendibili.
Ohamma fortunato il nuovo cliente a essere incappato in te prima che se ne sia accorto qualcun altro
Ah se è per questo a volte si riesce ad entrare in alcuni cms di alcuni siti mettendo admin admin ..
Non mi stupisco molto. Nel mio precedente lavoro tra i nostri clienti in assistenza vi erano alcuni comuni. Le password di root dei server unix principali erano nientemeno che il nome del comune…non serve che vi dica che i firewall erano un optional…
…e poi si parla di protezione dei dati sensibili e privacy…se se 🙂
@mattneri: Se si facesse un’analisi basic della sicurezza informatica media su di un campione di c
Comuni Italiani aventi un minimo di infrastruttura IT, ci sarebbe da mettersi le mani nei capelli …
Ovviamente parlo per esperienza personale 😉
Aggiungo che non sembrano avere una sorta migliore le intranet di molte aziende, alle quali si può tranquillamente ed indisturbatamente accedere con qualche piccolo banale trucchetto.
All’interno molti dati aziendali e dati personali degli ignari impiegati…
Questo credo ci dia anche una vaga idea sulla scarsa qualità e professionalità delle persone a cui spesso vengono affidati i sistemi informativi.
Saluti.
Parole sante caro Melvin!!