• IT-Karriere:
  • Services:

Resource Data Management: Kühlschränke lassen sich mit Passwort 1234 abschalten

Ein Hersteller von Kühlsystemen, die bei industriellen Kunden wie Supermärkten und Krankenhäusern zum Einsatz kommen, hat diese mit einem Standardpasswort ausgestattet. Sie lassen sich übers Internet steuern und abschalten. Der Hersteller sieht das Problem nicht bei sich.

Artikel veröffentlicht am , Hanno Böck
Dass 1234 kein sicheres Passwort ist, sollte klar sein, aber das Problem bei Geräten von Resource Data Management ist vor allem, dass dieses Passwort standardmäßig eingestellt ist.
Dass 1234 kein sicheres Passwort ist, sollte klar sein, aber das Problem bei Geräten von Resource Data Management ist vor allem, dass dieses Passwort standardmäßig eingestellt ist. (Bild: Hanno Böck)

Ein Mitarbeiter der Sicherheitsfirma Safety Detective hat Tausende Kühlsysteme gefunden, die sich mit dem Passwort 1234 steuern lassen. Die Produkte stammen von der US-Firma Resource Data Management.

Stellenmarkt
  1. Hochschule Albstadt-Sigmaringen, Albstadt
  2. ANDRITZ Fiedler GmbH, Regensburg

Laut dem Bericht fanden sich mit der Suchmaschine Shodan über 7.000 mit dem Internet verbundene Produkte des Herstellers. Die Systeme lassen sich über ein Webinterface steuern. Zwar können Administratoren das Passwort ändern, dies sei aber, so Safety Detective, in den wenigsten Fällen passiert. Eine Funktion, die den Nutzer vor der Inbetriebnahme dazu zwingt, das Standardpasswort zu ändern, gibt es in den Geräten nicht.

Webinterface verrät Standort

Über das Webinterface lassen sich die Kühlsysteme nicht nur steuern, sie verraten offenbar auch sehr detailliert, wem die Systeme gehören und wo sie sich befinden. Sie zeigen auf Karten die jeweiligen Gebäude und die Standorte der Kühlsysteme an. Unter den Beispielen, die Safety Detective erwähnt, finden sich Kühlhäuser, Pharmafirmen, Krankenhäuser und Supermärkte. Auf einigen der Screenshots sind Buttons mit der Aufschrift Defrost zu sehen, damit könnte man also die Kühlsysteme abschalten und vermutlich große Schäden verursachen.

Der Hersteller zeigte offenbar wenig Interesse an dem Problem. Auf eine erste Anfrage von Safety Detective antwortete Resource Data Management offenbar mit einem Textbaustein: Man habe kein Interesse an den Services der Firma und man bitte darum, nicht mehr kontaktiert zu werden.

Nachdem Safety Detective mit dem Vorfall an die Öffentlichkeit ging, meldete sich der Kühlsystemhersteller erneut. Doch Resource Data Management sieht das Problem offenbar allein bei seinen Kunden: Diese müssen die Passwörter bei der Inbetriebnahme ändern.

Hersteller: Der Kunde ist schuld

Standardpasswörter führen immer wieder dazu, dass mit dem Internet verbundene Geräte massenhaft angegriffen werden. So basierte das Mirai-Botnetz, eines der bislang größten Botnetze aus Internet-of-Things-Geräten, großteils darauf, dass Geräte mit Standardaccounts übernommen wurden. In Kalifornien wurde im vergangenen Jahr ein Gesetz verabschiedet, welches den Verkauf von Geräten mit Standardpasswörtern verbietet. Die Regelung tritt aber erst 2020 in Kraft.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. 91,99€ (Bestpreis!)
  2. (heute Logitech MK545 Advanced Tastatur-Maus Set für 44€ statt 61,99€ im Vergleich)
  3. (zu jedem Artikel aus der Aktion gibt es einen weiteren geschenkt)
  4. 27,99€ (ohne Prime oder unter 29€ zzgl. Versand)

Wolf_ 13. Feb 2019

Bei der Frage ob der Kunde schuld ist oder nicht, würde ich als IT Administrator sagen...

FreiGeistler 12. Feb 2019

Siehe Raubmordkopierer und Vorratsdatenspeicherung.

_spyro_88_ 12. Feb 2019

Der Hersteller hätte hier einiges besser machen können: - zufällige default-passwörter...

Xiut 12. Feb 2019

Ich finde da die Lösung wie bei einer Fritzbox besser. Es gibt ein zufälliges, sicheres...

SvD 12. Feb 2019

Jetzt stress' den Experten doch nicht mit Fakten, Argumenten und konkreten Nachfragen. :-)


Folgen Sie uns
       


Brett Butterfield von Adobe zeigt KI-Bildersuche per Sprache (englisch)

Der Befehl: "Mehr Kaffee!" zeigt tatsächlich mehr Kaffee.

Brett Butterfield von Adobe zeigt KI-Bildersuche per Sprache (englisch) Video aufrufen
Sendmail: Software aus der digitalen Steinzeit
Sendmail
Software aus der digitalen Steinzeit

Ein nichtöffentliches CVS-Repository, FTP-Downloads, defekte Links, Diskussionen übers Usenet: Der Mailserver Sendmail zeigt alle Anzeichen eines problematischen und in der Vergangenheit stehengebliebenen Softwareprojekts.
Eine Analyse von Hanno Böck

  1. Überwachung Tutanota musste E-Mails vor der Verschlüsselung ausleiten
  2. Buffer Overflow Exim-Sicherheitslücke beim Verarbeiten von TLS-Namen
  3. Sicherheitslücke Buffer Overflow in Dovecot-Mailserver

Cloud Gaming im Test: Leise ruckelt der Stream
Cloud Gaming im Test
Leise ruckelt der Stream

Kurz vor Weihnachten werben Dienste wie Google Stadia und Playstation Now um Kunden - mit noch nicht ganz perfekter Technik. Golem.de hat Cloud Gaming bei mehreren Anbietern ausprobiert und stellt Geschäftsmodelle und Besonderheiten vor.
Von Peter Steinlechner

  1. Apple und Google Die wollen nicht nur spielen
  2. Medienbericht Twitch plant Spielestreaming ab 2020
  3. Spielestreaming Wie archiviert man Games ohne Datenträger?

Apex Pro im Test: Tastatur für glückliche Gamer und Vielschreiber
Apex Pro im Test
Tastatur für glückliche Gamer und Vielschreiber

Steelseries bietet seine mechanische Tastatur Apex 7 auch als Pro-Modell mit besonderen Switches an: Zum Einsatz kommen sogenannte Hall-Effekt-Schalter, die ohne mechanische Kontakte auskommen. Besonders praktisch ist der einstellbare Auslösepunkt.
Ein Test von Tobias Költzsch

  1. Bluetooth und Ergonomic Keyboard Microsoft-Tastaturen kommen nach Deutschland
  2. Peripheriegeräte Microsofts neue Tastaturen haben Office- und Emoji-Tasten
  3. G Pro X Gaming Keyboard Logitech lässt E-Sportler auf austauschbare Tasten tippen

    •  /