Accueil High-Tech La faible sécurité Wi-Fi de WeWork expose des documents sensibles

La faible sécurité Wi-Fi de WeWork expose des documents sensibles

0
0

Le réseau Wi-Fi ouvert de WeWork a laissé des fichiers sensibles et des courriels exposés à toute personne se trouvant sur le même réseau sans VPN.

Alfred Ng / Camaraderielimited

Lorsque Teemu Airamo a emménagé dans le nouveau bureau de sa société à Manhattan chez le fournisseur d’espaces de travail partagés WeWork, il avait une priorité absolue: exécuter une analyse de sécurité sur le réseau Wi-Fi du bâtiment. Après tout, il partageait un espace avec plus de 200 entreprises travaillant également dans le hub du quartier financier et ne voulait pas que quiconque fouille dans les parages.

C'était en mai 2015 et la société de médias numériques d'Airamo travaillait avec des contrats et des documents sensibles. Il ne pouvait pas se permettre de se faire pirater. Ainsi, quand il a vu des centaines de dispositifs et de documents financiers d'autres sociétés complètement visibles sur le réseau du bâtiment, Airamo était abasourdi.

"Pour moi, c’était à peu près ça, 'Putain de merde", https://www.cnet.com/ ", a-t-il dit.

"J'ai dit:" Saviez-vous que nous pouvons réellement voir tout cela? " "La réponse fut:" ouais, hein. "https://www.cnet.com/"

Plus de quatre ans plus tard et après de multiples tentatives de contact avec WeWork, y compris sa direction, rien n’a changé. Airamo le sait, car il exécute régulièrement des analyses Wi-Fi sur le réseau WeWork et trouve des enregistrements financiers, des transactions commerciales, des bases de données clients et des courriels des entreprises situées autour de son bureau.

Camaraderielimited a examiné les analyses, dans lesquelles 658 appareils, y compris des ordinateurs, des serveurs et des machines à café ont été exposés sur le réseau de WeWork, générant une "quantité astronomique" de données.

La nature vulnérable de la sécurité Wi-Fi de WeWork, révélée pour la première fois par un rapport de Fast Company en août, arrive à point nommé pour WeWork, qui a reporté mardi son offre publique initiale prévue en raison des interrogations des investisseurs concernant sa valeur. Cela souligne également l’un des inconvénients de la popularité croissante des espaces de travail partagés et du partage de votre réseau Wi-Fi avec d’autres.

Lecture en cours:
                        Regarde ça:
                    
                    Le Wi-Fi 6 pourrait changer davantage la vie que la 5G

4:25

Le Wi-Fi public a toujours été un problème de sécurité, et c’est pourquoi les gens déconseillent d’aller sur les réseaux ouverts des hôtels, des cafés et des aéroports. Mais les enjeux sont beaucoup plus importants lorsqu'il s'agit de réseaux sur des espaces de coworking tels que WeWork, où des centaines d'entreprises paient et dépendent des aménagements du bâtiment, notamment l'accès Internet.

Sur le site Web de WeWork, "Internet ultrarapide" est le premier équipement répertorié, mais la sécurité ne figure nulle part. Pour ne rien arranger, plusieurs sites du vaste paysage de WeWork utilisent exactement le même mot de passe pour son réseau Wi-Fi.

"Si vous êtes sur un réseau ouvert, ces informations pourraient être divulguées", a déclaré Mike Spicer, directeur de la technologie chez MerchGo et chercheur en sécurité qui a passé des années à surveiller les réseaux Wi-Fi ouverts lors de conférences sur les pirates. "C’est fondamentalement ouvert pour quiconque cherche à voir ces données."

WeWork n'a pas pu entrer dans les détails de la plainte d'Airamo, citant la période de calme prescrite par le gouvernement autour de son premier appel public à l'épargne. Mais il a offert une défense générale de sa politique de sécurité.

"WeWork prend au sérieux la sécurité et la confidentialité de ses membres et nous nous engageons à protéger nos membres contre les menaces physiques et numériques", a déclaré une porte-parole de WeWork dans un communiqué. "En plus de notre réseau WeWork standard, nous offrons à nos membres la possibilité de choisir diverses fonctionnalités de sécurité améliorées, telles qu'un VLAN privé, un SSID privé ou une pile réseau physique dédiée de bout en bout."

Les mesures de sécurité plus élevées de WeWork ne sont pas gratuites. Le VLAN privé coûte 95 USD par mois, avec des frais d’installation de 250 USD. Un réseau de bureaux privés coûte 195 dollars par mois, selon le site Web de la société.

Les critiques soutiennent que la protection devrait être incluse.

"Il est raisonnable de fournir à une personne un niveau de sécurité de base inclus dans le package", a déclaré Spicer.

WeWorry

WeWork est une société immobilière qui a explosé en popularité en louant des espaces de bureaux partagés pour les startups et autres entreprises. Selon son site Web, il compte plus de 833 sites dans 125 villes du monde entier.

L'application WeWork affiche son mot de passe en texte brut, ainsi que l'identifiant de l'imprimante. Les mots de passe sont les mêmes sur plusieurs sites.

Teemu Airamo

La société, qui a demandé son introduction en bourse en 2018 et se vantait d'une valorisation de 47 milliards de dollars à un moment donné, compte plus de 527 000 membres louant ses espaces.

C'est cet espace de travail partagé qui constitue une menace pour la sécurité via son réseau Wi-Fi.

Le mot de passe apparaît en clair sur l'application de WeWork, comme Airamo l'a montré à Camaraderielimited, et c'est presque aussi grave que d'utiliser le mot "mot de passe" lui-même.

Il a également montré à plusieurs sites WeWork de New York en utilisant le même mot de passe et a constaté les mêmes problèmes dans des bureaux en Californie.

Le personnel de sécurité informatique des entreprises est toujours préoccupé par les menaces internes, c’est-à-dire par un employé de l’immeuble volant les données de l’entreprise. Avec un espace de travail collaboratif tel que WeWork, n'importe qui peut devenir un initié.

Bien que WeWork soit principalement utilisé par les membres, tout le monde peut réserver un laissez-passer d'une journée pour environ 50 $ par jour ou une salle de conférence pour 25 $ de l'heure. Ce serait tout un pirate potentiel doit entrer dans le bâtiment et le mot de passe Wi-Fi.

"Des centaines de personnes entrent et sortent chaque jour", a déclaré Airamo.

Tout ce dont ils auraient besoin, c'est d'un équipement de détection Wi-Fi, comme un ananas, ou d'un logiciel tel que Wireshark pour collecter les données. Et rien sur la sécurité réseau de WeWork ne l'empêche – aucun pare-feu ne bloque les activités non autorisées ni ne sépare les réseaux.

Wi-Finding secrets

Airamo a effectué des analyses occasionnelles sur le réseau Wi-Fi de WeWork pour voir si des mesures de sécurité avaient jamais été modifiées ou si les autres locataires y travaillant utilisaient de meilleures méthodes de protection.

À chaque fois, il voyait des quantités de données sensibles exposées sur le réseau, sans aucune mesure de sécurité autre que le mot de passe facile à déchiffrer de WeWork.

Airamo a déclaré qu'il n'avait pas d'arrière-pensées lors de la découverte de ces documents, mais qu'il était si simple qu'un pirate informatique malveillant pourrait facilement faire de même. Il exhorte WeWork à corriger ces vulnérabilités de sécurité.

"Nous avons demandé à plusieurs reprises au personnel de WeWork de résoudre ce problème", a déclaré Airamo. "Le premier gestionnaire de communauté initial en 2015 a complètement nié catégoriquement qu'il s'agissait d'un problème."

Les fichiers partagés sur le réseau exposé comprenaient des balayages de permis de conduire, de passeports, de demandes d'emploi, de noms d'utilisateur et de mots de passe de compte bancaire, de contrats, de documents financiers, de poursuites et de dossiers médicaux.

"Il y a des événements de toutes sortes dans le bâtiment, des sociétés financières, des entreprises à gauche et à droite dans différents secteurs", a déclaré Airamo. "Nous avons, à l'intérieur de ce bâtiment, un certain nombre de sociétés financières, nous avons des sociétés juridiques et nous avons des télévendeurs au hasard."

Tous les fichiers partagés sur le réseau de WeWork ne sont pas des enregistrements sensibles. Airamo a également vu des documents tels que des photos de graduation et une carte d'anniversaire avec l'acteur Nicolas Cage édité pour ressembler à un chat.

Une carte d'anniversaire envoyée sur le réseau Wi-Fi de WeWork.

Teemu Airamo

Mais pour les documents sensibles, la question de la sécurité représente un risque majeur pour quiconque travaille dans l’espace de travail partagé. Cela concerne également les entreprises qui n'ont jamais mis les pieds dans WeWork, mais ont interagi avec des startups basées dans ce dernier.

Deux sociétés de prêt ont eu des fuites de documents sensibles sur le réseau Wi-Fi de WeWork, alors qu'elles avaient leurs propres bureaux en Californie et à New York. Une des entreprises a refusé de commenter, tandis que l'autre n'a pas répondu aux demandes de commentaires. Camaraderielimited a retenu leurs noms, car les documents sensibles contenant les informations d'identification du compte bancaire sont toujours exposés sur le réseau de WeWork.

Axa XL, une compagnie d’assurances établie dans le Connecticut, n’a également jamais eu de bureau à WeWork, mais des documents internes ont été exposés par le biais du réseau du bâtiment – probablement d’une start-up travaillant pour la société.

"Nous avons mis en place un programme de gestion des fournisseurs rigoureux qui inclut la vérification des protocoles de cybersécurité", a déclaré Axa XL dans un communiqué. "Une cyber-sécurité efficace nécessite des améliorations continues et nous sommes en train d'examiner cette question."

Hanover Search Group, une société de recrutement de cadres basée au Royaume-Uni, a une succursale à New York basée dans une installation de WeWork et a également exposé des documents tels que des curriculum vitae sur le réseau du bâtiment. La société a refusé de commenter.

Corrections possibles

Après avoir découvert les problèmes de sécurité liés au Wi-Fi de WeWork, Airamo a commencé à utiliser des VPN pour protéger ses données des autres snoops potentiels.

Mais il y avait des inconvénients à cette mesure de sécurité. Son entreprise, Viveca Media, diffusait régulièrement des chansons et des vidéos de musique, et le VPN ralentissait considérablement sa vitesse d’internet. Après trois ans d'utilisation d'un VPN, Airamo a décidé de trouver une alternative.

Il a personnalisé un ordinateur Raspberry Pi pour acheminer tout son trafic réseau, et les données sont authentifiées via un identifiant Blockchain. Il a publié un livre blanc sur le fonctionnement du cryptage, mais a déclaré qu'il n'avait pas encore l'intention de vendre le système. Pour le moment, il se concentre sur sa société de médias et le routeur de sécurité est juste destiné à un usage interne, a déclaré Airamo.

"C'est simplement pratique pour nous, c'est ce dont nous avons besoin pour faire le travail. Ce n'est pas quelque chose que nous faisons en tant qu'entreprise", a-t-il déclaré.

Si vous travaillez chez WeWork, vous pouvez utiliser un VPN pour protéger vos données. Mais si vous ne pouvez pas faire face à un Internet plus lent, il existe d’autres solutions possibles. Les meilleures options viennent de WeWork, si vous êtes prêt à payer la facture.

En règle générale, il est assez trivial de configurer le logiciel de contrôle pour isoler les périphériques clients de la communication entre eux sur le réseau local.

Mike Spicer, directeur de la technologie chez MerchGo

Certains hôtels utilisent l'isolation des clients sans fil afin que leurs clients ne puissent pas espionner chaque personne séjournant dans cet hôtel. Cela empêche essentiellement les utilisateurs d'un même réseau Wi-Fi de voir l'activité de chacun. WeWork est capable de fournir cela, mais il n’offre que la sécurité en tant que coût supplémentaire. Cela s'ajoute aux frais mensuels de 720 $ pour un bureau individuel à New York.

MerchGo Spicer a déjà configuré l'isolation du client, et la plupart du temps, c'est une tâche assez simple. "Habituellement, il est assez trivial de configurer le logiciel de contrôle pour isoler les périphériques clients de l'intercommunication sur le réseau local", a-t-il déclaré.

WeWork pourrait également mettre en place des pare-feu pour bloquer les activités de numérisation Wi-Fi, a déclaré Sanyam Jain, chercheur en sécurité indépendant et membre de la Fondation GDI.

"Un pare-feu Wi-Fi peut surveiller en permanence le trafic indésirable et déconnecter automatiquement tout nouveau point d'accès", a déclaré Jain. "Au lieu de dépendre des employés pour utiliser le Wi-Fi en toute sécurité, un pare-feu Wi-Fi peut perturber les sessions non conformes pour empêcher la divulgation de données confidentielles."

Une autre solution simple consisterait à créer des mots de passe différents pour chaque site WeWork.

Les solutions potentielles imposeraient un fardeau de sécurité à WeWork, plutôt qu'aux milliers de personnes qui utilisent son réseau chaque jour. Pour un démarrage jeune et enthousiaste, il y en a déjà assez qui se passent sans se soucier de l'intégrité de leurs données.

"Chaque colocalisation s'occupe de leurs affaires", a déclaré Airamo. "Ils se concentrent sur la gestion de leur entreprise et ne pensent même pas que quelqu'un d'autre puisse voir ce sur quoi ils travaillent."

  • Destructeur de documents 16 - 18 feuilles coupe particules 4.5x30mm
    Outillage ... Divers HSM, Parfait pour le lieu de travail. Les utilisateurs exigeants apprécient les éléments de coupe réglés de…
  • Destructeur de documents 21 - 23 feuilles coupe bandes 3,9mm - 2350111
    Outillage ... Divers HSM, Parfait pour le lieu de travail. Les utilisateurs exigeants apprécient les éléments de coupe réglés de…
  • HSM destructeur de documents 21 - 23 feuilles coupe bandes 3,9mm - 2350111 - hsm
    Outillage ... Divers HSM, Parfait pour le lieu de travail. Les utilisateurs exigeants apprécient les éléments de coupe réglés de…
  • HSM destructeur de documents 16 - 18 feuilles coupe particules 4.5x30mm - 2353111
    Outillage ... Divers HSM, Parfait pour le lieu de travail. Les utilisateurs exigeants apprécient les éléments de coupe réglés de…
Chargez plus d'articles en relation
Chargez plus par Camaractu
CHargez plus dans High-Tech

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Regardez aussi

Netflix cessera de fonctionner sur les anciens appareils Roku en décembre

Netflix mettra fin au support des anciens appareils Roku d'ici la fin de l'année. …