7.000 Industrie-Kühlschränke stehen offen wie ein Scheunentor
Die Sicherheit von Geräten mit Internetanschluss ist ein wichtiges Thema und man sollte denken, dass das auch in der Industrie ernst genommen wird. Scheinbar nicht überall, denn in einem aktuellen Fall ließen sich auf tausende von Industrie-Kühlschränken mit dem Standardpasswort des Herstellers zugreifen.
Dabei handelt es sich um 7.000 Kühlsysteme auf die über das sogenannte Resource Data Management aus der Ferne zugegriffen werden konnte. Diese waren voraussichtlich zu Fernverwaltungs- und Wartungszwecken mit dem Internet verbunden. Und wo liegt das Problem?
Während der Installation der Geräte wurden der Benutzername und das Passwort nicht geändert und verblieben so auf den Standardeinstellungen. Allerdings kann man die Standardwerte in der auf der Website des Herstellers öffentlich zugänglichen Support-Dokumenten nachlesen, womit die Systeme für jeden zugänglich waren. Zu den Nutzern dieser Kühlschränke gehören Restaurants und Lagerhäuser, aber auch einige Krankenhäuser, was die Situation noch einmal beunruhigender macht.
Dabei kann man nicht nur den Status abrufen, sondern sogar das gesamte System auftauen. Das führt natürlich nicht nur zu erheblichen Schäden am Inhalt der Kühlsysteme sowie zu Wasserlecks, die alles weitere im Raum beeinträchtigen können. Auch die finanziellen Verluste für die betroffenen Unternehmen können verheerend sein.
Betroffen sind Restaurants, Krankenhäuser, Supermärkte und Lebensmittelgeschäfte in Großbritannien, Irland, aber auch in Schweden, Deutschland und China. Laut Noam Rotem, einer der Forscher die das Problem aufdeckten, ist sogar ein Pharmaunternehmen in Malaysia zugänglich.
Rotem zufolge wäre das Auftauen eines der Kühlschränke nur "einen Klick über die Schaltfläche und die Eingabe eines Benutzernamens und Passworts" entfernt gewesen. Letzteres ist bei fast den meisten Geräten ähnlicher Serie nahezu gleich. Dann hat man die volle Kontrolle über das System und kann auch Timer einstellen, Grenzwerte ändern oder Einstellungen manipulieren.
Keine Kontrolle nach der Installation
Resource Data Management selbst erklärt, dass im Laufe des Installationsverfahrens empfohlen wird, die standardmäßigen Zugangsdaten zu ändern. Allerdings sei das nicht dringend erforderlich und werde auch nicht überprüft:
"Wir haben keine Kontrolle darüber, wie unsere Systeme vom Installateur eingerichtet werden, und schlagen vor, dass sie ihren Artikel an Benutzer und Installateure unserer Geräte richtet."
schrieb das Unternehmen an TechCrunch. Außerdem werde man eine E-Mails an Nutzer des Systems verschicken und darin vorschlagen die Zugangsdaten zu ändern. Diese Sicherheitslücke betrifft sicherlich nicht die Kunden, die sich dessen bewusst sind, dass jedes mit dem Internet verbundene Gerät ein möglicher Angriffspunkt für böswillige Menschen ist.
Quelle: SafetyDetective, TechCrunch
Sehr witzig, mir fällt gerade auf, dass ich Anfang der Woche erst in genau diesem Laden in Hongkong war. Zufälle gibt's. Da hätte ich doch mal im Käseregal schauen können, ob Alles frisch ist. ;-)
7000 Kühlschränke stehen offen??!!!!🥶 jetzt wissen wir warum es in den USA so kalt war.
Na hoffen wir mal die Betroffenen tun etwas bevor es in Krankenhäusern und Restaurants zu einem neuen Fall von "Klima-Erwärmung" kommt. ;)
Liest eigentlich irgendjemand von euch die Artikel gegen? So was wie einen Lektor habt ihr nicht oder? Heißt es bei euch nur: Schnell raus?
@flooney: Weiß gar nicht, was Du willst, das sind doch Sätze für die Ewigkeit:
"Das führt natürlich nicht nur zu erheblichen Schäden am Inhalt der Kühlsysteme sowie zu Wasserlecks, die alles weitere im Raum beeinträchtigen können."
"Letzteres ist bei fast den meisten Geräten ähnlicher Serie nahezu gleich."
Warum sollte ausgerechnet AP so etwas tun? Lies mal Online Artikel von Spiegel oder Focus :-)
Wenn ich das schon lese.
Kan man sich nur noch an den Kopf fassen, den selbigen schütteln und weggehen.
Die Entwickler und Designer haben doch alle Abi und studiert.
Was ist mit dem Schulsystem passiert, daß Denken anscheinend nicht mehr möglich ist.
Na denken ist nach wie vor möglich, nur wird es nicht unterrichtet ..... das wäre auch das viel größere Problem als diese Kühlschränke, auf die man theoretisch zugreifen könnte.
Was mich aber auch stört ist, dass man solch eine Info veröffentlicht, wissend der Gefahr, das jetzt jemand hier Nachforschungen anstellen könnte und versuchen könnte, diese Kühlschränke wirklich zu manipulieren. Die Verantwortung der Schreiber (Journalist will ich nicht sagen) ist hier ja auch gefragt und ich weiß nicht ob da was für getan wird....
Und wenn die nun informierten Besitzer (das steht jedenfalls im Artikel) immernoch keine Lust haben, das Passwort zu ändern, dann sind wohl im schlimmsten Fall ein paar Würstchen nicht mehr genießbar. UNERHÖRT, daß die Artikelschreiber solch eine Gefahr kaltblütig in Kauf nehmen!
Ihr habt Probleme, ich würde sofort das Ausschalten Zerstören oder Demontieren...und schon ist das Problem erledigt...danke.
Vorher informieren und entsprechend handeln wer eher angebracht. Aber einfach Dienste nutzen, ohne wissen was man macht....
Ich will nur das er sehr Kalt macht mehr nicht und Spielereien nein...manche meinen Heute, muss alles mit Wifi Internet verbunden sein...nein danke
Bei Industriesystemen kann ein Anschluß zur Fernwartung schon hilfreich sein. Das kann Kosten senken. ;)
Und bei Großküchen und ähnlichen Einrichtungen bist du sogar dazu verpflichtet, um die Einhaltung der Hygienevorschriften nachweisen zu können.
Dann sollten das auch Leute tun die sich auskennen.
Verpflichtet? So ein Quatsch!