¿Cómo debo decirle a una organización que son vulnerables cuando no me dieron permiso para verificar?

Navega tus respuestas
12

Hace poco estuve en un ayuntamiento (en el Reino Unido), a cierta distancia de donde vivo, para una fiesta. Noté que tenían wi-fi sin garantía con un SSID de NETGEAR. Supuse que era wi-fi gratis para los usuarios de la sala, así que me conecté con mi teléfono (ahora lo pienso, no recuerdo haber visto el logotipo de wi-fi gratis). El hecho de que el SSID de NETGEAR fuera el valor predeterminado con el que se envían muchos enrutadores no pasó inadvertido, así que encontré la IP de la puerta de enlace, conectada con un safari, y por curiosidad, probé el nombre de usuario y la contraseña predeterminados para la mayoría de Netgear Routers: me permitió ingresar a la consola de administración.

Supongo que no debería haber intentado iniciar sesión en la consola de administración sin el permiso del propietario, pero creo que debería hacerles saber que son vulnerables y debería cambiar la contraseña de forma predeterminada. Tal vez podría inventar una historia que pensé que estaba conectada a través de VPN a mi enrutador en casa, pero la conexión había fallado o algo así, pero preferiría no mentir.

¿Qué debo hacer? ¿Debería simplemente olvidarlo porque no debería haber intentado acceder? ¿Debo decirles la verdad porque no hice nada malicioso?

    
pregunta AnonID 09.07.2012 - 17:21
fuente

5 respuestas

12

Envíales un correo electrónico anónimo / snailmail. Lo que hagan con ellos es su responsabilidad. Tu conciencia estará clara.

    
respondido por el Matrix 09.07.2012 - 20:22
fuente
4

Honestamente, no haría nada (incluida la conexión a la red de nuevo).

Alguien configuró el enrutador y dejó la contraseña predeterminada en la cuenta de administrador. Esta misma persona lo configuró para que el enrutador wifi no tenga seguridad para las conexiones.

Me parece que a la persona que lo configura no le importa nada la seguridad de esa red, o la dejó a propósito como lo más inseguro posible, por ejemplo, para una negación plausible de las acciones que un gobierno podría hacer ilegal.

La gente tiene un historial de actuar mal ante los informes de estas cosas. Mi conjetura es que informarles de sus malas decisiones solo dirigirá la ira hacia ti; y que es probable que lo dejen débilmente configurado de alguna otra manera. Podrías intentar informarles anónimamente; Pero personalmente no me molestaría.

    
respondido por el dr jimbob 09.07.2012 - 23:27
fuente
3

¡Informe a un CSIRT de forma anónima y no pruebe cosas a las que no está destinado! ¡Puede hacer que te metas en grandes problemas dependiendo de dónde vivas!

    
respondido por el balgan 09.07.2012 - 18:37
fuente
0

Solo dígales, si este dispositivo es suyo, y si es así, dígales que no es seguro. Sencillo. Cuál es el problema. Nadie dice realmente que comenzarás a usarlo o piratearlo.

    
respondido por el Andrew Smith 09.07.2012 - 18:40
fuente
0

Parece que no hiciste nada más que explorar. De cualquier manera, usted fue a algún lugar al que tal vez no haya sido invitado a ir. P: ¿Sabes que es su red y no una casa / negocio vecino?

Si es realmente de ellos, diría que, para mí como profesional cuyo trabajo incluye la seguridad, sería irresponsable de mi parte no decir algo. Yo sugeriría algo como "Noté que tienes una red inalámbrica que usa el nombre predeterminado de 'Netgear'. Eso viene con un nombre de administrador y una contraseña predeterminados de [X e Y], que se pueden consultar en [ no es mi red, pero sugeriría considerar cambiar esas tres cosas. De lo contrario, cualquier persona puede acceder a su red inalámbrica ". No necesitas confesar un posible acto criminal; solo decirles que alguien puede es suficiente.

(Solía trabajar con un chico cuya respuesta fue obtener acceso como usted describe y cambiar el SSID a "Has sido hackeado". No lo recomiendo.)

    
respondido por el baldPrussian 23.11.2017 - 08:20
fuente

Lea otras preguntas en las etiquetas

¿Qué tan seguro es el cifrado SSD de Intel? ¿Compilando un ejemplo de desbordamiento de búfer en Linux moderno?