Passwort "1234" in IoT-Kühlschränken

Die Sicherheitsfirma Safety Detectives hat eine potentiell riesige Sicherheitslücke in einem Monitoring-Sytstem für Kühlschränke gefunden. Wie das Unternehmen in einem Blog Post bekannt gibt, wurden alle Systeme der schottischen Firma Data Ressource Management mit Standard-Login-Daten ausgestattet, diese wurden bei der Einrichtung der Systeme jedoch nur in wenigen Fällen geändert. Einen erzwungenen Prozess zur Änderung des Passwortes bei der Einrichtung gibt es bei diesen Systemen nicht. Dies führt dazu, dass eine Vielzahl der betroffenen Kühlschränke als Passwort schlicht "1234" eingerichtet haben.

Zugang zu den Geräten erhalten potentielle Angreifer über das Web-Interface der Lösung, in welchem neben Informationen wie Standort und Besitzer auch die Steuerung einsehbar ist. Beispielsweise können über das Interface die Geräte aufgetaut werden, was massive Schäden an den Inhalten nach sich ziehen könnte. Betroffen sind unter anderem Kühlschränke bei Supermärkten und Pharmafirmen.

Der Hersteller, heisst es weiter, habe ungeschickt reagiert: So sendete Data Ressource Management standardisierte, abschmetternde Antworten auf Anfragen zum Thema. Nach dem öffentlichen Bekanntwerden der Lücke liess der Hersteller letztlich verlauten, dass das Problem bei den Usern liege und diese eben die Passwörter ändern müssten, wenn das Gerät in Betrieb genommen werde.