Tuy nhiên, tại hội nghị bảo mật RSA ở San Francisco vào cuối tháng 4, các nhà nghiên cứu từ công ty bảo mật ESET đã trình bày những phát hiện cho thấy hơn một nửa số bộ định tuyến doanh nghiệp cũ mà họ mua để thử nghiệm đã được chủ sở hữu trước đó để lại hoàn toàn nguyên vẹn. Các thiết bị này chứa đầy thông tin mạng, thông tin đăng nhập và dữ liệu bí mật về các tổ chức từng sử dụng chúng.
Các nhà nghiên cứu đã mua 18 bộ định tuyến đã qua sử dụng với các mẫu khác nhau được sản xuất bởi ba nhà cung cấp chính: Cisco, Fortinet và Juniper Networks. Trong số đó, chín chiếc vẫn còn nguyên do chủ sở hữu đã để lại và hoàn toàn có thể truy cập được, trong khi chỉ có năm chiếc đã được xóa sạch hoàn toàn. Hai chiếc đã được mã hóa, một chiếc đã hỏng và một cái là bản sao của một thiết bị khác.
Tất cả chín thiết bị không được bảo vệ đều chứa thông tin đăng nhập VPN của tổ chức, thông tin đăng nhập cho một dịch vụ liên lạc mạng an toàn khác hoặc mật khẩu quản trị viên gốc được băm, tất cả chúng đều bao gồm đủ dữ liệu nhận dạng để xác định ai là chủ sở hữu hoặc người điều hành bộ định tuyến trước đó.
Tám trong số chín thiết bị không được bảo vệ bao gồm các khóa xác thực bộ định tuyến và thông tin về cách bộ định tuyến kết nối với các ứng dụng cụ thể được sử dụng bởi chủ sở hữu trước đó. Bốn thiết bị đã tiết lộ thông tin đăng nhập để kết nối với mạng của các tổ chức khác chẳng hạn như đối tác đáng tin cậy, đơn vị điều phối hoặc các bên thứ ba khác. Ba thiết bị chứa thông tin về cách một thực thể có thể kết nối với tư cách là bên thứ ba với mạng của chủ sở hữu trước đó và hai thiết bị chứa dữ liệu khách hàng.
Cameron Camp, nhà nghiên cứu bảo mật của ESET, người đứng đầu dự án, cho biết: “Bộ định tuyến lõi chạm vào mọi thứ trong tổ chức, vì vậy tôi biết tất cả về các ứng dụng và đặc điểm của tổ chức điều đó giúp cho việc mạo danh tổ chức trở nên rất dễ dàng".
Mối đe dọa lớn là lượng thông tin phong phú trên các thiết bị sẽ rất có giá trị đối với tội kẻ tấn công. Thông tin đăng nhập ứng dụng công ty, thông tin đăng nhập mạng và khóa mã hóa có giá trị cao trên thị trường chợ đen và diễn đàn tội phạm. Những kẻ tấn công cũng có thể bán thông tin về các cá nhân để sử dụng trong hành vi trộm cắp danh tính và lừa đảo khác.
Thông tin chi tiết về cách thức hoạt động của mạng công ty và cấu trúc kỹ thuật số của một tổ chức cũng cực kỳ có giá trị, có thể dùng để khởi động một cuộc tấn công bằng mã độc tống tiền hay lên kế hoạch cho một chiến dịch gián điệp. Ví dụ: các bộ định tuyến có thể tiết lộ rằng một tổ chức cụ thể đang chạy các phiên bản ứng dụng hoặc hệ điều hành lỗi thời có chứa các lỗ hổng có thể khai thác, về cơ bản chúng cung cấp cho tin tặc các chiến lược tấn công có thể xảy ra và các nhà nghiên cứu thậm chí còn tìm thấy thông tin chi tiết trên một số bộ định tuyến về bảo mật tòa nhà vật lý của các văn phòng của chủ sở hữu trước đó.
Do thiết bị cũ được giảm giá nên tội phạm mạng có khả năng đầu tư mua các thiết bị đã qua sử dụng để khai thác chúng để lấy thông tin và truy cập mạng, sau đó sử dụng thông tin hoặc bán lại. Các nhà nghiên cứu của ESET nói rằng họ đã tranh luận về việc có nên công bố phát hiện của mình hay không vì họ không muốn cung cấp cho tội phạm mạng những ý tưởng mới, nhưng họ kết luận rằng việc nâng cao nhận thức về vấn đề này là cấp bách hơn.
Mười tám bộ định tuyến chỉ là một ví dụ nhỏ trong số hàng triệu thiết bị mạng doanh nghiệp lưu hành khắp thế giới trên thị trường bán lại, nhưng các nhà nghiên cứu khác cho biết họ cũng đã nhiều lần nhận thấy những vấn đề tương tự trong công việc của mình.
Balloon Security, một công ty bảo mật IoT cho biết: Chúng tôi đã mua tất cả các loại thiết bị nhúng trực tuyến trên eBay và những người bán đồ cũ khác và chúng tôi đã thấy rất nhiều thiết bị chưa được xóa sạch bằng kỹ thuật số. Những thiết bị này có thể chứa vô số thông tin mà tin tặc có thể sử dụng để nhắm mục tiêu và thực hiện các cuộc tấn công”.
Như trong các phát hiện của ESET, Ford nói rằng các nhà nghiên cứu của Red Balloon đã tìm thấy mật khẩu và các thông tin đăng nhập khác cũng như thông tin nhận dạng cá nhân. Một số dữ liệu như tên người dùng và tệp cấu hình thường ở dạng văn bản gốc và dễ dàng truy cập, trong khi mật khẩu và tệp cấu hình thường được bảo vệ vì chúng được lưu trữ dưới dạng băm. Nhưng Ford chỉ ra rằng ngay cả dữ liệu đã băm vẫn có khả năng gặp rủi ro.
Các nhà nghiên cứu của ESET chỉ ra rằng các tổ chức có thể nghĩ rằng họ đã xử lý được vấn đề khi ký hợp đồng với các công ty quản lý thiết bị bên ngoài, các công ty xử lý rác thải điện tử hoặc thậm chí các dịch vụ vệ sinh thiết bị tuyên bố sẽ xóa sạch một lượng lớn thiết bị doanh nghiệp để bán lại. Nhưng trên thực tế, các bên thứ ba này có thể không làm những gì họ yêu cầu. Camp cũng lưu ý rằng đang có nhiều tổ chức tận dụng lợi thế của mã hóa và các tính năng bảo mật khác đã được cung cấp bởi các bộ định tuyến chính thống để giảm thiểu dữ liệu rò rỉ nếu các thiết bị chưa được xóa sạch xuất hiện ngoài thị trường.
Camp và các đồng nghiệp của ông đã cố gắng liên hệ với chủ sở hữu cũ của những bộ định tuyến đã qua sử dụng mà họ đã mua để cảnh báo rằng thiết bị của những tổ chức đó hiện đang phát tán dữ liệu một cách tự nhiên. Một số rất biết ơn về thông tin, nhưng những người khác dường như phớt lờ các cảnh báo hoặc không đưa ra cơ chế nào để các nhà nghiên cứu có thể báo cáo các phát hiện bảo mật.