Resource Data Management: Kühlschränke lassen sich mit Passwort 1234 abschalten

Ein Hersteller von Kühlsystemen, die bei industriellen Kunden wie Supermärkten und Krankenhäusern zum Einsatz kommen, hat diese mit einem Standardpasswort ausgestattet. Sie lassen sich übers Internet steuern und abschalten. Der Hersteller sieht das Problem nicht bei sich.

Artikel veröffentlicht am , Hanno Böck
Dass 1234 kein sicheres Passwort ist, sollte klar sein, aber das Problem bei Geräten von Resource Data Management ist vor allem, dass dieses Passwort standardmäßig eingestellt ist.
Dass 1234 kein sicheres Passwort ist, sollte klar sein, aber das Problem bei Geräten von Resource Data Management ist vor allem, dass dieses Passwort standardmäßig eingestellt ist. (Bild: Hanno Böck)

Ein Mitarbeiter der Sicherheitsfirma Safety Detective hat Tausende Kühlsysteme gefunden, die sich mit dem Passwort 1234 steuern lassen. Die Produkte stammen von der US-Firma Resource Data Management.

Stellenmarkt
  1. Referent (m/w/d) für IT-Projekte
    Paul-Ehrlich-Institut, Langen
  2. Junior Testingenieur Hardware (m/w/d)
    DRÄXLMAIER Group, Vilsbiburg bei Landshut
Detailsuche

Laut dem Bericht fanden sich mit der Suchmaschine Shodan über 7.000 mit dem Internet verbundene Produkte des Herstellers. Die Systeme lassen sich über ein Webinterface steuern. Zwar können Administratoren das Passwort ändern, dies sei aber, so Safety Detective, in den wenigsten Fällen passiert. Eine Funktion, die den Nutzer vor der Inbetriebnahme dazu zwingt, das Standardpasswort zu ändern, gibt es in den Geräten nicht.

Webinterface verrät Standort

Über das Webinterface lassen sich die Kühlsysteme nicht nur steuern, sie verraten offenbar auch sehr detailliert, wem die Systeme gehören und wo sie sich befinden. Sie zeigen auf Karten die jeweiligen Gebäude und die Standorte der Kühlsysteme an. Unter den Beispielen, die Safety Detective erwähnt, finden sich Kühlhäuser, Pharmafirmen, Krankenhäuser und Supermärkte. Auf einigen der Screenshots sind Buttons mit der Aufschrift Defrost zu sehen, damit könnte man also die Kühlsysteme abschalten und vermutlich große Schäden verursachen.

Der Hersteller zeigte offenbar wenig Interesse an dem Problem. Auf eine erste Anfrage von Safety Detective antwortete Resource Data Management offenbar mit einem Textbaustein: Man habe kein Interesse an den Services der Firma und man bitte darum, nicht mehr kontaktiert zu werden.

Nachdem Safety Detective mit dem Vorfall an die Öffentlichkeit ging, meldete sich der Kühlsystemhersteller erneut. Doch Resource Data Management sieht das Problem offenbar allein bei seinen Kunden: Diese müssen die Passwörter bei der Inbetriebnahme ändern.

Hersteller: Der Kunde ist schuld

Standardpasswörter führen immer wieder dazu, dass mit dem Internet verbundene Geräte massenhaft angegriffen werden. So basierte das Mirai-Botnetz, eines der bislang größten Botnetze aus Internet-of-Things-Geräten, großteils darauf, dass Geräte mit Standardaccounts übernommen wurden. In Kalifornien wurde im vergangenen Jahr ein Gesetz verabschiedet, welches den Verkauf von Geräten mit Standardpasswörtern verbietet. Die Regelung tritt aber erst 2020 in Kraft.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Neues Betriebssystem von Microsoft
Wir probieren Windows 11 aus

Windows 11 ist bereits im Umlauf. Wir haben die Vorabversion ausprobiert und ein schickes OS durchstöbert. Im Kern ist es aber Windows 10.
Ein Hands-on von Oliver Nickel

Neues Betriebssystem von Microsoft: Wir probieren Windows 11 aus
Artikel
  1. Niedrige Inzidenzen: Homeoffice-Pflicht soll am 30. Juni enden
    Niedrige Inzidenzen
    Homeoffice-Pflicht soll am 30. Juni enden

    Die allgemeine Pflicht zum Homeoffice soll Ende des Monats fallen. Coronatests sollen aber weiterhin in Betrieben angeboten werden.

  2. Nach Juni 2022: Europäische Union will freies Roaming verlängern
    Nach Juni 2022
    Europäische Union will freies Roaming verlängern

    Die Regelung vom Juni 2017 soll verlängert und verbessert werden. Ein Ende von 'Roam like at home' wäre undenkbar.

  3. Websicherheit: Wie KenFM von Anonymous gehackt wurde
    Websicherheit
    Wie KenFM von Anonymous gehackt wurde

    Die Webseite AnonLeaks berichtet, wie das Defacement von KenFM ablief: durch abrufbare Backupdaten und das Wordpress-Plugin Duplicator Pro.
    Von Hanno Böck

Wolf_ 13. Feb 2019

Bei der Frage ob der Kunde schuld ist oder nicht, würde ich als IT Administrator sagen...

FreiGeistler 12. Feb 2019

Siehe Raubmordkopierer und Vorratsdatenspeicherung.

_spyro_88_ 12. Feb 2019

Der Hersteller hätte hier einiges besser machen können: - zufällige default-passwörter...

Xiut 12. Feb 2019

Ich finde da die Lösung wie bei einer Fritzbox besser. Es gibt ein zufälliges, sicheres...

SvD 12. Feb 2019

Jetzt stress' den Experten doch nicht mit Fakten, Argumenten und konkreten Nachfragen. :-)


Folgen Sie uns
       


Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Dualsense Midnight Black + Ratchet & Clank Rift Apart 99,99€ • Saturn Super Sale (u. a. Samsung 65" QLED (2021) 1.294€) • MSI 27" FHD 144Hz 269€ • Razer Naga Pro Gaming-Maus 119,99€ • Apple iPad Pro 12,9" 256GB 909€ [Werbung]
    •  /