Chi ha colpa, gli amministratori o il produttore?
In breve: Il ricercatore di sicurezza canadese Eric Daigle ha recentemente identificato una lacuna di sicurezza nei pannelli di controllo utilizzati per limitare l’accesso agli edifici residenziali negli Stati Uniti e in Canada. In particolare, alcuni gestori non hanno mai modificato la password predefinita del sistema, rendendo estremamente semplice accedere, visualizzare i registri delle attività e altro ancora.
Daigle ha iniziato a indagare sul sistema verso la fine dell’anno scorso, dopo aver notato un interessante pannello di controllo di accesso mentre era in giro. Una rapida ricerca su Google per “MESH by Viscount” lo ha portato a una pagina di vendita che pubblicizzava la capacità di accesso remoto, e un’altra ricerca ha rivelato una guida all’installazione in formato PDF.
Come spesso accade, il sistema viene fornito con una password predefinita che gli amministratori sono invitati a cambiare (anche se, secondo Daigle, il manuale non spiega come farlo). Cercando il titolo della pagina di login dell’interfaccia utente, sono emerse diverse pagine di login, e lui è riuscito ad accedere alla prima utilizzando le credenziali predefinite. Questo non è un buon segnale.
Una volta all’interno del sistema, Daigle aveva il potere di sbloccare qualsiasi ingresso, registrare nuovi portachiavi o cancellarne di esistenti, cambiare il piano per cui erano autorizzati e altro ancora. Aveva anche accesso a un registro pluriennale che mostrava tutte le attività dei portachiavi, oltre ai nomi completi dei residenti, ai numeri delle unità abitative e ai numeri di telefono. Non ci vuole molto a dedurre le abitudini dei residenti; per esempio, si potrebbe facilmente scoprire che John Doe va al lavoro alle 8 del mattino e torna a casa intorno alle 18 dal lunedì al venerdì.
In totale, Daigle ha trovato 89 sistemi esposti utilizzati negli edifici residenziali. La maggior parte di questi – 71 – si trovava in Canada, con i restanti negli Stati Uniti.
Il ricercatore ha contattato il fornitore del sistema, che ha affermato che gli amministratori non seguono le raccomandazioni del produttore per cambiare la password predefinita. Il problema è stato designato come CVE-2025-26793, con un punteggio di gravità critico di 10. Un responsabile di prodotto senior ha detto a TechCrunch che avevano contattato i clienti per seguirle le istruzioni del manuale.
Messaggi simili:
- Facile da indovinare, difficile da credere: le password più comuni d’America
- Direttore dell’intelligence USA Tulsi Gabbard: stessa password debole per Gmail, Dropbox e LinkedIn!
- Sì, le 10 password peggiori includono ancora “password” e “segreta”
- Migliaia di Router Asus Violati dal Backdoor “ViciousTrap” – Proteggi Subito il Tuo!
- 16 miliardi di password violate: nuovo enorme furto di dati scoperto?
Nicola Costanzo esplora il mondo della tecnologia e dell’innovazione. I suoi articoli illuminano le sfide digitali che plasmano il nostro futuro.