Come dovrei dire a un'organizzazione che sono vulnerabili quando non mi è stato dato il permesso di controllare?

12

Sono stato di recente in una sala del villaggio (nel Regno Unito), a una certa distanza da dove vivo, per una festa. Ho notato che avevano unsecured wi-fi con un SSID di NETGEAR. Ho pensato che fosse gratis wi-fi per gli utenti della sala, quindi mi sono connesso al mio telefono (ora ci penso, non ricordo di aver visto il logo wi-fi gratuito). Il fatto che il SSID di NETGEAR fosse il default con cui molti router sono stati spediti non è passato inosservato da me, quindi ho trovato l'IP del gateway, connesso con Safari e, per curiosità, ho provato il nome utente e la password predefiniti per la maggior parte di router netgear: mi ha fatto entrare nella console di amministrazione.

Suppongo che non avrei dovuto provare ad accedere alla console di amministrazione senza il permesso del proprietario, ma sento che dovrei far sapere loro che sono vulnerabili e che dovrebbero cambiare la password dall'impostazione predefinita. Potrei forse inventare una storia che pensavo di essere connessa via VPN al mio router a casa, ma la connessione era fallita, o un po 'di spazzatura, ma preferirei non mentire.

Cosa dovrei fare? Dovrei semplicemente dimenticarlo perché non avrei dovuto provare ad accedere? Devo dire loro la verità perché non ho fatto nulla di malvagio?

    
posta AnonID 09.07.2012 - 17:21
fonte

5 risposte

12

Invia loro un'email anonima / snailmail. Quello che fanno con esso è la loro responsabilità. La tua coscienza sarà chiara.

    
risposta data 09.07.2012 - 20:22
fonte
4

Onestamente, non farei nulla (incluso mai collegarmi di nuovo alla loro rete).

Qualcuno ha configurato il router e ha lasciato la password predefinita nell'account amministratore. Questa stessa persona lo ha configurato in modo che il router wifi non abbia alcuna sicurezza per le connessioni.

Mi sembra che la persona che lo ha creato non si preoccupi affatto della sicurezza di quella rete, o intenzionalmente la lascia come il più insicuro possibile - ad esempio, per una credibilità plausibile di azioni che un governo potrebbe rendere illegale.

Le persone hanno una storia di recitazione male alle notizie di queste cose. La mia ipotesi è che informarli delle loro decisioni sbagliate dirigerà solo le ire verso di te; e che probabilmente lo lasceranno debolmente configurato in qualche altro modo. Potresti provare a segnalarlo a loro in modo anonimo; ma personalmente non mi preoccuperei.

    
risposta data 09.07.2012 - 23:27
fonte
3

Segnalalo ad un CSIRT in modo anonimo e non testare cose che non dovresti! Può facilmente metterti nei guai grossi a seconda di dove vivi!

    
risposta data 09.07.2012 - 18:37
fonte
0

Di 'loro solo, se questo è il loro neatgear e se è così, digli che non è sicuro. Semplice. Qual è il problema. Nessuno in realtà dice che inizierai a usarlo o a violarlo attraverso.

    
risposta data 09.07.2012 - 18:40
fonte
0

Sembra che tu non abbia fatto altro che esplorare. In ogni caso, sei andato da qualche parte in cui potresti non essere stato invitato ad andare. D: sai che è la loro rete e non una casa / azienda vicina?

SE è davvero la loro, direi che, per me come professionista il cui lavoro include la sicurezza, sarebbe irresponsabile da parte mia non dire qualcosa. Suggerirei qualcosa del tipo "Ho notato che hai una rete wireless che usa il nome predefinito di 'Netgear', che viene fornito con un nome amministratore e una password predefiniti di [X e Y], che possono essere consultati su [ sito]. Non è la mia rete, ma suggerirei di prendere in considerazione di cambiare queste tre cose, altrimenti chiunque può accedere alla tua rete wireless. " Non è necessario confessare un potenziale atto criminale; solo dire che qualcuno potrebbe essere sufficiente.

(Lavoravo con un ragazzo la cui risposta era quella di ottenere l'accesso come descrivi tu e cambiare il SSID in "Sei stato hackerato." Non lo consiglio.)

    
risposta data 23.11.2017 - 08:20
fonte

Leggi altre domande sui tag