チェックする権限が与えられていない場合、組織に脆弱であることを組織にどのように伝える必要がありますか?
私は最近、パーティーのために、私の住んでいる場所から少し離れた村のホール(イギリス)にいました。私は彼らがNETGEARのSSIDで安全でないwi-fiを持っていることに気づきました。私はそれがホールのユーザーのための無料のwi-fiであると思ったので、私の電話に接続しました(今、私はそれについて考えます、無料のwi-fiロゴを見たことを思い出しません)。 NETGEARのSSIDが多くのルーターに同梱されているデフォルトであるという事実に気づかなかったため、私はゲートウェイIPがサファリに接続されていることに気付き、好奇心から、ほとんどのユーザーにデフォルトのユーザー名とパスワードを試してみましたnetgearルーター-管理コンソールにアクセスできます。
所有者の許可なしに管理コンソールにログインしようとするべきではなかったと思いますが、彼らが脆弱であることを彼らに知らせ、デフォルトからパスワードを変更するべきだと思います。 VPN経由で自宅のルーターに接続していると思ったが、接続に失敗したか、そのようなごみがあったが、うそをついたくないという話を立てることができるかもしれない。
私は何をすべきか?アクセスを取得しようとするべきではなかったので、私はそれを忘れるべきですか?私は悪意のあることを何もしなかったので、彼らに本当のことを言うべきでしょうか?
匿名のメール/ snailmailを送信します。彼らがそれで何をするかは彼らの責任です。あなたの良心は明確になります。
正直なところ、私は何もしません(二度と彼らのネットワークに接続することを含む)。
誰かがルーターを設定し、adminアカウントにデフォルトのパスワードを残しました。これと同じ人が設定したので、wifiルーターには接続のセキュリティがありません。
それを設定する人はそのネットワークのセキュリティについてまったく気にしないか、意図的にそれを 可能な限り安全ではない-たとえば、もっともらしい否認可能性 政府が行うことができる行動として残した違法。
人々はこれらのことの報告に対してひどく振る舞う歴史があります。私の推測では、彼らの悪い決定を彼らに知らせることはあなたに怒りを向けるだけだと思います。そして、彼らは他の方法で弱く設定されたままにする可能性が高いこと。あなたはそれを匿名で彼らに報告することを試みることができます。でも個人的には気にしません。
匿名でCSIRTに報告し、意図していないことはテストしないでください。住んでいる場所によっては、簡単に大きなトラブルに巻き込まれる可能性があります。
探索以外に何もしなかったようです。いずれにせよ、あなたは、あなたが行くように招待されていないかもしれないどこかに行った。 Q:それは彼らのネットワークであり、近隣の家やビジネスではないことを知っていますか?
確かに彼らのものなら、私はセキュリティを含む仕事をしている専門家として、私が何かを言わないのは無責任だと思います。 「デフォルトの名前「Netgear」を使用するワイヤレスネットワークがあることに気づきました。デフォルトの管理者名とパスワード[XとY]が付属しています。[サイト]。これは私のネットワークではありませんが、これら3つを変更することを検討することをお勧めします。それ以外の場合は、誰でもワイヤレスネットワークにアクセスできます。」潜在的な犯罪行為を自白する必要はありません。誰かに可能性があることを伝えるだけで十分です。
(私はこれに対して、あなたが説明したようにアクセスを取得し、SSIDを「あなたはハッキングされた」に変更することでした。私はそれをお勧めしません。)
このニートギアが彼らのものであるかどうか、そしてそうであれば安全でないことを彼らに伝えてください。シンプル。どうしたの。誰もあなたがそれを使ったりハッキングしたりすることを実際に言う人はいません。