Обсудить: Слабая Защита Wi-Fi От Weworks Оставляет Уязвимые Документы Открытыми

Обсудить: Слабая Защита Wi-Fi От Weworks Оставляет Уязвимые Документы Открытыми

Когда Теему Айрамо переехал в новый офис своей компании в Манхэттене у провайдера общего рабочего пространства WeWork, у него был один главный приоритет: запустить проверку безопасности в сети Wi-Fi здания. В конце концов, он разделил пространство с более чем 200 компаниями, также сотрудничающими в центре финансового района, и не хотел, чтобы кто-то шпионил.

Это был май 2015 года, и цифровая медиа-компания Airamo работала с контрактами и конфиденциальными документами. Он не мог позволить себе быть взломанным. Поэтому, когда он увидел сотни устройств и финансовых отчетов других компаний, полностью видимых в сети здания, Айрамо был ошеломлен.

«Для меня это было в значительной степени« Святое дерьмо », - сказал он. Он вспомнил, как немедленно обратился к менеджеру сообщества WeWork и показал уязвимости в безопасности, которые затрагивают всех людей в этом здании.

«Я сказал:« Вы знали, что мы действительно можем увидеть все это? » он вспомнил: «Ответ был:« Да, ах ».«

Более четырех лет спустя, и после многочисленных попыток связаться с WeWork, включая его высшее руководство, ничего не изменилось.Айрамо знает это, потому что он регулярно проводит сканирование Wi-Fi в сети WeWork и находит финансовые записи, бизнес-транзакции, клиентские базы данных и электронные письма от компаний, окружающих его офис.

CNET рассмотрел сканы, в которых 658 устройств, включая компьютеры, серверы и кофемашины были выставлены в сети WeWork, изливая «астрономический объем» данных.

Уязвимый характер безопасности Wi-Fi в WeWork, впервые раскрытый в отчете Fast Company в августе, приходит в неловкое время для WeWork, который во вторник отложил запланированное первичное публичное размещение акций на фоне вопросов о его ценности для инвесторов. , Это также подчеркивает один из недостатков растущей популярности общих рабочих пространств и совместного использования вашей сети Wi-Fi с другими.

Общественный Wi-Fi всегда был проблемой безопасности, и поэтому люди не советуют заходить в открытые сети в отелях, кафе и аэропортах. Но ставки намного выше, когда это сети в местах совместной работы, таких как WeWork, где сотни предприятий платят и полагаются на удобства здания, включая доступ в Интернет.

На веб-сайте WeWork «сверхбыстрый интернет» - первое перечисленное удобство, но нигде не упоминается безопасность. Хуже всего то, что в разных точках WeWork используется один и тот же пароль для сети Wi-Fi.

«Если вы находитесь в открытой сети, эта информация может просачиваться туда», - сказал Майк Спайсер (Mike Spicer), директор по технологиям в MerchGo и исследователь безопасности, который годами проводил мониторинг открытых сетей Wi-Fi на хакерских конференциях. «Это в основном открыт для выбора для тех, кто находится в пределах досягаемости, чтобы увидеть эти данные».

WeWork не может вдаваться в подробности по поводу жалобы Airamo, ссылаясь на то, что правительственный мандат прошел в период ожидания IPO. Но он предложил полную защиту своей политики безопасности.

«WeWork серьезно относится к безопасности и конфиденциальности наших пользователей, и мы стремимся защитить наших участников от цифровых и физических угроз», - заявила представитель WeWork. «В дополнение к нашей стандартной сети WeWork мы предлагаем участникам возможность выбирать различные расширенные функции безопасности, такие как частная VLAN, частный SSID или выделенный сквозной физический сетевой стек."

Более строгие меры безопасности WeWork не бесплатны. Частная VLAN стоит дополнительно 95 долларов в месяц с платой за установку 250 долларов. Сеть частного офиса стоит 195 долларов в месяц, согласно веб-сайту компании.

Критики утверждают, что защита должна быть включена.

«Разумно предоставить человеку базовый уровень безопасности, включенный в пакет», - сказал Спайсер.

WeWork - это компания по недвижимости, которая имеет Его популярность возросла за счет сдачи в аренду общих офисных площадей для стартапов и других предприятий. По данным на его веб-сайте, в более чем 833 местах в 125 городах мира. на сумму 47 миллиардов долларов в один момент более 527 000 участников сдают свои площади в аренду.

Это то общее рабочее пространство, которое представляет угрозу безопасности через его сеть Wi-Fi.

Пароль появляется в простой текст в приложении WeWork, как Airamo показал CNET, и это почти так же плохо, как использование слова сам "пароль".

Он также показал несколько мест WeWork в Нью-Йорке, используя один и тот же пароль, и обнаружил те же проблемы в офисах в Калифорнии.

Персонал корпоративной ИТ-безопасности всегда обеспокоен внутренними угрозами, то есть сотрудником, занимающимся кражей данных компании. С таким рабочим пространством, как WeWork, любой может стать инсайдером.

Несмотря на то, что WeWork в основном используется членами, любой может забронировать дневной билет за 50 долларов в день или конференц-зал за 25 долларов в час. Это все, что нужно потенциальному хакеру, чтобы получить в здании пароль Wi-Fi.

«Каждый день приходят и уходят сотни людей», - сказал Айрамо.

Все, что им понадобится, это оборудование для прослушивания Wi-Fi, такое как Pineapple, или программное обеспечение, например Wireshark, для сбора данных. И ничто в сетевой безопасности WeWork не препятствует этому - никакой брандмауэр не блокирует мошенническую деятельность и не разделяет сети.

Airamo периодически проводил сканирование сети Wi-Fi WeWork, чтобы выяснить, изменились ли какие-либо меры безопасности или другие работающие там арендаторы использовали более эффективные методы защиты.

Каждый раз он видел в сети множество уязвимых данных без каких-либо мер безопасности, кроме простого взлома пароля WeWork.

Айрамо сказал, что у него не было никаких скрытых мотивов при обнаружении этих документов, но отметил, что это было настолько просто, что злоумышленник мог легко сделать то же самое. Он призывает WeWork исправить эти уязвимости в безопасности.

«Мы несколько раз обращались к сотрудникам WeWork о том, как на самом деле решить эту проблему», - сказал Айрамо. «Первый начальный менеджер сообщества в 2015 году полностью отрицал, что это проблема».

Файлы, которыми обменивались в открытой сети, включали в себя сканирование водительских прав, паспортов, заявлений о приеме на работу, имен пользователей и паролей банковских счетов, договоров, финансовых документов, судебных исков и медицинских записей.

«В строительстве случаются всевозможные события, финансовые компании, компании слева и справа в разных отраслях», - сказал Айрамо. «У нас в этом здании есть несколько финансовых компаний, у нас есть юридические компании, и у нас есть несколько случайных телемаркетеров.«

Не все файлы, которыми обмениваются в сети WeWork, являются конфиденциальными записями. Airamo также видел документы, такие как выпускные фотографии и поздравительную открытку с актером Николасом Кейджем, отредактированными как кошка.

Но для документов, которые Эта проблема безопасности представляет серьезный риск для всех, кто работает в общем офисном пространстве, а также для компаний, которые никогда не вступали в WeWork, но взаимодействовали с находящимися там стартапами.

Две кредитные компании просочились в конфиденциальные документы WeWork's Wi -Fi-сеть, несмотря на наличие собственных офисов в Калифорнии и Нью-Йорке. Одна из фирм отказалась от комментариев, в то время как другая фирма не ответила на запросы о комментариях. CNET отказался от своих имен, потому что конфиденциальные документы с учетными данными банковского счета по-прежнему в сети WeWork.

Axa XL, страховая компания, базирующаяся в Коннектикуте, также никогда не имела офиса в WeWork, но у нее были внутренние документы, раскрываемые через сеть здания - вероятно, от стартапа, работающего с это компания.

«У нас есть строгая программа управления поставщиками, которая включает проверку протоколов кибербезопасности», - говорится в заявлении Axa XL. «Эффективная кибербезопасность требует постоянных улучшений, и мы рассматриваем этот вопрос».

Hanover Search Group, британская компания по подбору управленческих кадров, имеет филиал в Нью-Йорке на базе WeWork, а также публикует такие документы, как биографические данные в сети здания. Компания отказалась от комментариев.

После того, как Airamo обнаружил проблемы с безопасностью в Wi-Fi WeWork, он начал использовать VPN для защиты своих данных от других потенциальных взломов.

Но у этой меры безопасности были и недостатки. Его компания, Viveca Media, регулярно транслировала песни и музыкальные клипы, и VPN значительно замедлил скорость его интернета. После трех лет использования VPN Airamo решила найти альтернативу.

Он настроил компьютер Raspberry Pi для маршрутизации всего своего сетевого трафика, и данные аутентифицируются с помощью идентификатора блокчейна.Он опубликовал официальный документ о том, как работает шифрование, но сказал, что пока не собирается продавать систему. На данный момент он сосредоточен на своей медиа-компании, и маршрутизатор безопасности предназначен только для внутреннего использования, сказал Айрамо.

«Это просто удобно для нас, это то, что нам нужно для выполнения работы. Это не то, что мы на самом деле делаем как компания», - сказал он.

Если вы работаете в WeWork, вы можете использовать VPN для обеспечения безопасности ваших данных. Но если вы не можете справиться с медленным интернетом, есть и другие потенциальные исправления. Лучшие варианты исходят от самого WeWork - если вы готовы платить по счетам.

Некоторые отели используют беспроводную изоляцию клиента, поэтому его гости не могут шпионить за каждым человеком, оставшимся там. По сути, он не позволяет людям в одной сети Wi-Fi видеть активность друг друга. WeWork способен обеспечить это, но он предлагает безопасность только за дополнительную плату. Это сверх ежемесячной абонентской платы в 720 долларов за офис в Нью-Йорке.

Spicer MerchGo ранее настраивал изоляцию клиента, и в большинстве случаев это довольно простая задача. «Обычно это довольно тривиально с настройкой управляющего программного обеспечения, чтобы изолировать клиентские устройства от взаимодействия в локальной сети», - сказал он.

WeWork также может настроить брандмауэры для блокировки операций сканирования Wi-Fi, сказал Саньям Джейн, независимый исследователь безопасности и член Фонда GDI.

«Брандмауэр Wi-Fi может непрерывно следить за мошенническим трафиком и автоматически отключать любые новые точки доступа», - сказал Джейн. «Вместо того чтобы полагаться на то, что сотрудники будут использовать Wi-Fi безопасно, брандмауэр Wi-Fi может прерывать несоответствующие сеансы для предотвращения раскрытия конфиденциальной информации».

Еще одним простым исправлением будет создание разных паролей для каждого местоположения WeWork.

Потенциальные исправления создадут бремя безопасности для WeWork, а не для тысяч людей, которые ежедневно используют его сеть. Для молодого, энергичного стартапа уже достаточно, не беспокоясь о целостности своих данных.

"Каждое совместное местоположение занимается своими делами", - сказал Айрамо. «Они сосредоточены на том, как вести свой бизнес, и они даже не думают, что кто-то еще может увидеть, над чем они работают».

Подробнее:

Лучшие менеджеры паролей на 2019 год

Лучшие VPN-сервисы на 2019 год

Лучшие сервисы мониторинга идентичности на 2019

.