當(dāng)Teemu Airamo搬到公司在共享工作區(qū)提供商WeWork中位于曼哈頓的新辦公室時(shí),他的首要任務(wù)是:對(duì)大樓的Wi-Fi網(wǎng)絡(luò)進(jìn)行安全掃描。畢竟,他與200多家在金融區(qū)中心共同工作的公司共享了一個(gè)空間,不想讓任何人窺探。
那是2015年5月,Airamo的數(shù)字媒體公司正在處理合同和敏感文件。他承受不起被黑客入侵的負(fù)擔(dān)。因此,當(dāng)他看到大樓網(wǎng)絡(luò)上完全可見其他數(shù)百家公司的設(shè)備和財(cái)務(wù)記錄時(shí),Airamo感到震驚。
他說:“對(duì)我來說,這幾乎是'天哪'。” 他回憶起立即去找WeWork社區(qū)經(jīng)理,并展示了影響該建筑物中所有人員的安全漏洞。
“我說,'你知道我們實(shí)際上可以看到這一切嗎?' 他回憶說:“答案是,是的,嗯。”
四年多以后,在多次嘗試聯(lián)系WeWork(包括其高層管理人員)之后,一切都沒有改變。Airamo之所以知道這一點(diǎn),是因?yàn)樗ㄆ谠赪eWork網(wǎng)絡(luò)上運(yùn)行Wi-Fi掃描,并從其辦公室周圍的公司中查找財(cái)務(wù)記錄,商業(yè)交易,客戶數(shù)據(jù)庫和電子郵件。
CNET審查了掃描結(jié)果,其中658臺(tái)設(shè)備(包括計(jì)算機(jī),服務(wù)器和咖啡機(jī))暴露在WeWork的網(wǎng)絡(luò)上,泄漏出了“天文數(shù)字”的數(shù)據(jù)。
WeWork的Wi-Fi安全性的脆弱性在8月的《快速公司》(Fast Company)報(bào)告中首次曝光,而這對(duì)于WeWork來說是個(gè)尷尬的時(shí)刻,在周二,由于投資者對(duì)其價(jià)值提出疑問,WeWork 推遲了其計(jì)劃的首次公開募股。它還突顯了共享工作區(qū)以及與其他人共享您的Wi-Fi網(wǎng)絡(luò)日益普及的缺點(diǎn)之一。
公共Wi-Fi 一直是安全問題,這就是為什么人們建議不要在酒店,咖啡廳和機(jī)場使用開放式網(wǎng)絡(luò)。但是,當(dāng)它在諸如WeWork之類的協(xié)同工作空間中建立網(wǎng)絡(luò)時(shí),風(fēng)險(xiǎn)就更大了,那里有數(shù)百家企業(yè)為此付費(fèi),并依賴該建筑物的便利設(shè)施,包括互聯(lián)網(wǎng)接入。
在WeWork的網(wǎng)站上,“超高速互聯(lián)網(wǎng)”是第一個(gè)列出的便利設(shè)施,但是安全性在任何地方都沒有提及。更糟糕的是,WeWork廣闊的土地上的多個(gè)位置都為其Wi-Fi網(wǎng)絡(luò)使用完全相同的密碼。
MerchGo首席技術(shù)官,安全研究員邁克·斯派塞(Mike Spicer)說:“如果您使用的是開放網(wǎng)絡(luò),則該信息可能會(huì)泄漏出去。”他在黑客大會(huì)上花了多年時(shí)間監(jiān)視開放的Wi-Fi網(wǎng)絡(luò)。“對(duì)于任何能夠看到該數(shù)據(jù)的人來說,基本上都是開放供選擇的。”
WeWork無法透露有關(guān)Airamo投訴的詳細(xì)信息,理由是政府在即將進(jìn)行的IPO中規(guī)定了平靜的時(shí)期。但是它提供了對(duì)其安全策略的全面防御。
WeWork發(fā)言人在一份聲明中說:“ WeWork認(rèn)真對(duì)待會(huì)員的安全和隱私,我們致力于保護(hù)會(huì)員免受數(shù)字和物理威脅的侵害。” “除了我們的標(biāo)準(zhǔn)WeWork網(wǎng)絡(luò)外,我們還為成員提供選擇各種增強(qiáng)的安全性功能的選項(xiàng),例如私有VLAN,私有SSID或?qū)S玫亩说蕉宋锢砭W(wǎng)絡(luò)堆棧。”
WeWork的更高安全措施不是免費(fèi)的。專用VLAN每月額外花費(fèi)$ 95,另加$ 250的安裝費(fèi)。根據(jù)該公司的網(wǎng)站,私人辦公室網(wǎng)絡(luò)每月的費(fèi)用為195美元。
批評(píng)者認(rèn)為應(yīng)該包括保護(hù)。
Spicer說:“為用戶提供軟件包中包含的基準(zhǔn)安全級(jí)別是合理的。”
擔(dān)心
WeWork是一家房地產(chǎn)公司,通過為初創(chuàng)企業(yè)和其他企業(yè)出租共享的辦公空間而大受歡迎。根據(jù)其網(wǎng)站,它在全球125個(gè)城市中擁有833多個(gè)地點(diǎn)。
該公司于2018年提交IPO申請(qǐng),并一度擁有470億美元的估值,擁有超過52.7萬名成員出租其空間。
共享的工作空間通過其Wi-Fi網(wǎng)絡(luò)構(gòu)成了安全威脅。
就像Airamo在CNET上顯示的那樣,密碼在WeWork的應(yīng)用程序上以純文本形式顯示,幾乎和使用“密碼”一詞一樣糟糕。
他還使用相同的密碼顯示了紐約附近的多個(gè)WeWork地點(diǎn),并在加利福尼亞州的辦公室發(fā)現(xiàn)了相同的問題。
企業(yè)IT安全人員始終擔(dān)心內(nèi)部威脅-即建筑物中的一名員工正在竊取公司數(shù)據(jù)。有了WeWork這樣的合作空間,任何人都可以成為內(nèi)部人員。
雖然WeWork主要由會(huì)員使用,但任何人都可以每天50美元的價(jià)格預(yù)訂一日通行證,或每小時(shí)25美元的會(huì)議室。那將是潛在的黑客進(jìn)入建筑物和Wi-Fi密碼的全部。
Airamo說:“每天都有數(shù)百人進(jìn)出。”
他們所需要的只是Wi-Fi嗅探設(shè)備(例如 Pineapple)或軟件(例如 Wireshark) 來收集數(shù)據(jù)。而且,WeWork的網(wǎng)絡(luò)安全性無可避免–沒有防火墻阻止流氓活動(dòng)或分隔網(wǎng)絡(luò)。
無線發(fā)現(xiàn)的秘密
Airamo偶爾在WeWork的Wi-Fi網(wǎng)絡(luò)上運(yùn)行掃描,以查看是否有任何安全措施發(fā)生更改,或者在該處工作的其他租戶是否使用了更好的保護(hù)方法。
每次,他都會(huì)看到大量敏感數(shù)據(jù)暴露在網(wǎng)絡(luò)上,除了WeWork易于破解的密碼之外,沒有任何安全措施。
Airamo說,他發(fā)現(xiàn)這些文件時(shí)沒有任何別有用心,但他指出,它是如此簡單,以至于惡意黑客可以輕松地做到這一點(diǎn)。他敦促WeWork修復(fù)這些安全漏洞。
Airamo說:“我們已經(jīng)多次與WeWork的人員接觸,以解決如何實(shí)際解決此問題。” “ 2015年第一位社區(qū)經(jīng)理最初完全否認(rèn)這是一個(gè)問題。”
在暴露的網(wǎng)絡(luò)上共享的文件包括對(duì)人的駕駛執(zhí)照,護(hù)照,工作申請(qǐng),銀行帳戶用戶名和密碼,合同,財(cái)務(wù)文件,訴訟和健康記錄的掃描。
Airamo說:“建筑物,金融公司,不同行業(yè)左右的公司中發(fā)生了各種各樣的事情。” “在這座大樓內(nèi),我們有許多金融公司,法律公司,還有一些隨機(jī)的電話推銷員。”
并非WeWork網(wǎng)絡(luò)上共享的所有文件都是敏感記錄。Airamo還看到了畢業(yè)照片和生日賀卡等文件,演員Nicolas Cage被編輯成看起來像只貓。
但是對(duì)于敏感文件,安全問題對(duì)在共享辦公室空間工作的任何人都構(gòu)成了重大風(fēng)險(xiǎn)。這也影響了從未涉足WeWork但與總部設(shè)在WeWork的初創(chuàng)公司互動(dòng)的公司。
盡管兩家貸款公司在加利福尼亞和紐約設(shè)有辦事處,但仍有敏感文件泄漏到WeWork的Wi-Fi網(wǎng)絡(luò)上。其中一家公司拒絕置評(píng),而另一家公司未回應(yīng)置評(píng)請(qǐng)求。CNET保留其名稱,因?yàn)閹в秀y行帳戶憑據(jù)的敏感文檔仍在WeWork的網(wǎng)絡(luò)上公開。
總部位于康涅狄格州的保險(xiǎn)公司Axa XL也從未在WeWork設(shè)有辦事處,但內(nèi)部文件通過該大樓的網(wǎng)絡(luò)公開-可能來自與該公司合作的一家初創(chuàng)公司。
“我們已經(jīng)制定了嚴(yán)格的供應(yīng)商管理計(jì)劃,其中包括審查網(wǎng)絡(luò)安全協(xié)議,” Axa XL在一份聲明中說。“有效的網(wǎng)絡(luò)安全需要不斷改進(jìn),我們正在審查此事。”
總部位于英國的高管招聘公司漢諾威搜索集團(tuán)(Hanover Search Group)在紐約的WeWork分支機(jī)構(gòu)設(shè)有分支機(jī)構(gòu),并且在大樓網(wǎng)絡(luò)上還公開了簡歷等文件。該公司拒絕置評(píng)。
可能的修復(fù)
Airamo在WeWork的Wi-Fi上發(fā)現(xiàn)安全問題后,他開始使用VPN來保護(hù)其數(shù)據(jù)免受其他潛在窺探的影響。
但是該安全措施存在不利之處。他的公司Viveca Media定期播放歌曲和音樂視頻,而VPN大大降低了他的互聯(lián)網(wǎng)速度。使用VPN三年后,Airamo決定尋找替代方案。
他定制了一臺(tái)Raspberry Pi計(jì)算機(jī)來路由所有網(wǎng)絡(luò)流量,并通過區(qū)塊鏈ID對(duì)數(shù)據(jù)進(jìn)行身份驗(yàn)證。他發(fā)表了有關(guān)加密工作原理的白皮書,但表示他還不打算出售該系統(tǒng)。Airamo說,目前,他專注于自己的媒體公司,而安全路由器僅供內(nèi)部使用。
他說:“這對(duì)我們來說很方便,這是我們完成工作所需要的。這并不是我們作為一家公司實(shí)際要做的事情。”
如果您在WeWork工作,則可以使用VPN來確保數(shù)據(jù)安全。但是,如果您不能處理速度較慢的互聯(lián)網(wǎng),那么還有其他潛在的解決方法。最好的選擇來自WeWork本身-如果您愿意承擔(dān)費(fèi)用。
一些酒店使用無線客戶端隔離,因此其客人無法監(jiān)視住在那里的每個(gè)人。本質(zhì)上,它阻止了位于同一Wi-Fi網(wǎng)絡(luò)上的人們能夠看到彼此的活動(dòng)。WeWork能夠提供此服務(wù),但僅提供安全性作為額外的費(fèi)用。這是紐約一個(gè)人辦公室每月720美元的月租費(fèi)用的基礎(chǔ)。
MerchGo的Spicer之前(大多數(shù)時(shí)候)已經(jīng)配置了客戶端隔離,這是一個(gè)非常簡單的任務(wù)。他說:“通常,控制軟件中的設(shè)置非?,嵥?,以隔離客戶端設(shè)備與本地網(wǎng)絡(luò)之間的互通。”
獨(dú)立安全研究員,GDI基金會(huì)成員Sanyam Jain說,WeWork還可以設(shè)置防火墻來阻止Wi-Fi掃描活動(dòng)。
賈恩說:“ Wi-Fi防火墻可以持續(xù)監(jiān)視惡意流量并自動(dòng)斷開任何新的接入點(diǎn)。” “ Wi-Fi防火墻不會(huì)依賴于員工安全地使用Wi-Fi,而是會(huì)破壞不合規(guī)的會(huì)話,以防止機(jī)密數(shù)據(jù)泄露。”
另一個(gè)簡單的解決方法是為每個(gè)WeWork位置設(shè)置不同的密碼。
潛在的修補(bǔ)程序?qū)⒔oWeWork帶來安全負(fù)擔(dān),而不是每天使用其網(wǎng)絡(luò)的成千上萬的人。對(duì)于一個(gè)年輕的,熱切的創(chuàng)業(yè)公司來說,已經(jīng)有足夠的工作要做,而不必?fù)?dān)心數(shù)據(jù)的完整性。
Airamo說:“每個(gè)托管地點(diǎn)都在關(guān)注他們的業(yè)務(wù)。” “他們專注于如何經(jīng)營自己的業(yè)務(wù),他們甚至不認(rèn)為別人可以看到他們?cè)谧鍪裁础?/p>