Владельцы почти 1800 IoT-устройств дают свободный доступ по Telnet’у

11.06.2017 на сайте сервиса Pastebin появился список из более 33 000 записей, каждая из которых содержала информацию об устройствах интернета вещей (логин/пароль и ip-адрес). Эти данные позволяли найти устройство из списка и получить к нему доступ, что позволяло, в свою очередь, использовать их для ДДОС-атак.
доступ
Ankit Anubhav, специалист по интернет безопасности компании «New Sky Security», рассказал в своем твиттер-аккаунте о найденном списке и отметил, что число его просмотров (700) было совсем небольшим – скорее всего, его и составили, и им пользовались сами злоумышленники. Сразу после публикации Анкита, число просмотров начало резко расти, и достигло 22 000.

Виктор Геверс, председатель GDI Foundation и специалист по безопасности, отметил после изучения списка, что реальных IP-адресов было не более 8230, так как значительная часть записей являлась дубликатами. Неизвестно, сами ли владельцы части IoT-устройств догадались сменить пароли, или же им кто-то рассказал об этом списке, но авторизация, по информации Геверса, возможна уже только на 1770 устройствах. Руководитель GDI Foundation сообщил о намерении связаться с их владельцами и предупредить о небезопасности.