IoT, password insicure per tutti

Ankit Anubhav , ricercatore presso New Sky Security, ha identificato una lista di credenziali Telnet disponibile da almeno un paio di mesi su Pastebin , un elenco di username e password per l’accesso a gadget IoT, router e altri dispositivi controllabili da remoto dal livello di sicurezza a dir poco insufficiente. Decine di migliaia i sistemi vulnerabili, migliaia quelli ancora accessibili mentre i cyber-criminali avranno sicuramente già sfruttato l’opportunità di ingrossare le fila di dispositivi “zombie” per le loro botnet malevole.

L’elenco – che al momento risulta inaccessibile – ha acquisito una certa notorietà nel corso del weekend, quando i ricercatori colleghi di Anubhav hanno condiviso il suo tweet e si sono messi al lavoro per analizzare l’effettiva pericolosità dei dati allegati.

Nella lista ci sono più di 33.000 account , tutti con indirizzo IP, username e password; inutile dire che una parte significativa di queste credenziali corrisponde alle solite combinazioni insicure come “admin:admin”, “root:root”, “admin:default” e via elencando. Le dieci password più usate corrispondono a quelle di default dei dispositivi .

Per quanto riguarda il tipo di dispositivi coinvolti, invece, si parla di router, videocamere IP e altri sistemi della Internet delle Cose connessi a Internet , mentre l’analisi degli IP ha permesso di restringere il pericolo a 8.233 indirizzi individuali, 2.174 ancora accessibili tramite il protocollo Telnet e 1.775 credenziali di accesso ancora funzionanti.

I ricercatori sono al momento impegnati nel tentativo di contattare i proprietari dei dispositivi vulnerabili, o in alternativa di allertare l’ISP responsabile del loro accesso a Internet; l’obiettivo è quello di limitare i danni ed evitare di ingrossare le fila di botnet malevole come la famigerata Mirai , progettata appunto per abusare dei gadget IoT insicuri “arruolandoli” negli attacchi DDoS.

Alfonso Maruccia