当Teemu Airamo搬到公司在共享工作区提供商WeWork中位于曼哈顿的新办公室时,他的首要任务是:对大楼的Wi-Fi网络进行安全扫描。毕竟,他与200多家在金融区中心共同工作的公司共享了一个空间,不想让任何人窥探。
那是2015年5月,Airamo的数字媒体公司正在处理合同和敏感文件。他承受不起被黑客入侵的负担。因此,当他看到大楼网络上完全可见其他数百家公司的设备和财务记录时,Airamo感到震惊。
他说:“对我来说,这几乎是'天哪'。” 他回忆起立即去找WeWork社区经理,并展示了影响该建筑物中所有人员的安全漏洞。
“我说,'你知道我们实际上可以看到这一切吗?' 他回忆说:“答案是,是的,嗯。”
四年多以后,在多次尝试联系WeWork(包括其高层管理人员)之后,一切都没有改变。Airamo之所以知道这一点,是因为他定期在WeWork网络上运行Wi-Fi扫描,并从其办公室周围的公司中查找财务记录,商业交易,客户数据库和电子邮件。
CNET审查了扫描结果,其中658台设备(包括计算机,服务器和咖啡机)暴露在WeWork的网络上,泄漏出了“天文数字”的数据。
WeWork的Wi-Fi安全性的脆弱性在8月的《快速公司》(Fast Company)报告中首次曝光,而这对于WeWork来说是个尴尬的时刻,在周二,由于投资者对其价值提出疑问,WeWork 推迟了其计划的首次公开募股。它还突显了共享工作区以及与其他人共享您的Wi-Fi网络日益普及的缺点之一。
公共Wi-Fi 一直是安全问题,这就是为什么人们建议不要在酒店,咖啡厅和机场使用开放式网络。但是,当它在诸如WeWork之类的协同工作空间中建立网络时,风险就更大了,那里有数百家企业为此付费,并依赖该建筑物的便利设施,包括互联网接入。
在WeWork的网站上,“超高速互联网”是第一个列出的便利设施,但是安全性在任何地方都没有提及。更糟糕的是,WeWork广阔的土地上的多个位置都为其Wi-Fi网络使用完全相同的密码。
MerchGo首席技术官,安全研究员迈克·斯派塞(Mike Spicer)说:“如果您使用的是开放网络,则该信息可能会泄漏出去。”他在黑客大会上花了多年时间监视开放的Wi-Fi网络。“对于任何能够看到该数据的人来说,基本上都是开放供选择的。”
WeWork无法透露有关Airamo投诉的详细信息,理由是政府在即将进行的IPO中规定了平静的时期。但是它提供了对其安全策略的全面防御。
WeWork发言人在一份声明中说:“ WeWork认真对待会员的安全和隐私,我们致力于保护会员免受数字和物理威胁的侵害。” “除了我们的标准WeWork网络外,我们还为成员提供选择各种增强的安全性功能的选项,例如私有VLAN,私有SSID或专用的端到端物理网络堆栈。”
WeWork的更高安全措施不是免费的。专用VLAN每月额外花费$ 95,另加$ 250的安装费。根据该公司的网站,私人办公室网络每月的费用为195美元。
批评者认为应该包括保护。
Spicer说:“为用户提供软件包中包含的基准安全级别是合理的。”
担心
WeWork是一家房地产公司,通过为初创企业和其他企业出租共享的办公空间而大受欢迎。根据其网站,它在全球125个城市中拥有833多个地点。
该公司于2018年提交IPO申请,并一度拥有470亿美元的估值,拥有超过52.7万名成员出租其空间。
共享的工作空间通过其Wi-Fi网络构成了安全威胁。
就像Airamo在CNET上显示的那样,密码在WeWork的应用程序上以纯文本形式显示,几乎和使用“密码”一词一样糟糕。
他还使用相同的密码显示了纽约附近的多个WeWork地点,并在加利福尼亚州的办公室发现了相同的问题。
企业IT安全人员始终担心内部威胁-即建筑物中的一名员工正在窃取公司数据。有了WeWork这样的合作空间,任何人都可以成为内部人员。
虽然WeWork主要由会员使用,但任何人都可以每天50美元的价格预订一日通行证,或每小时25美元的会议室。那将是潜在的黑客进入建筑物和Wi-Fi密码的全部。
Airamo说:“每天都有数百人进出。”
他们所需要的只是Wi-Fi嗅探设备(例如 Pineapple)或软件(例如 Wireshark) 来收集数据。而且,WeWork的网络安全性无可避免–没有防火墙阻止流氓活动或分隔网络。
无线发现的秘密
Airamo偶尔在WeWork的Wi-Fi网络上运行扫描,以查看是否有任何安全措施发生更改,或者在该处工作的其他租户是否使用了更好的保护方法。
每次,他都会看到大量敏感数据暴露在网络上,除了WeWork易于破解的密码之外,没有任何安全措施。
Airamo说,他发现这些文件时没有任何别有用心,但他指出,它是如此简单,以至于恶意黑客可以轻松地做到这一点。他敦促WeWork修复这些安全漏洞。
Airamo说:“我们已经多次与WeWork的人员接触,以解决如何实际解决此问题。” “ 2015年第一位社区经理最初完全否认这是一个问题。”
在暴露的网络上共享的文件包括对人的驾驶执照,护照,工作申请,银行帐户用户名和密码,合同,财务文件,诉讼和健康记录的扫描。
Airamo说:“建筑物,金融公司,不同行业左右的公司中发生了各种各样的事情。” “在这座大楼内,我们有许多金融公司,法律公司,还有一些随机的电话推销员。”
并非WeWork网络上共享的所有文件都是敏感记录。Airamo还看到了毕业照片和生日贺卡等文件,演员Nicolas Cage被编辑成看起来像只猫。
但是对于敏感文件,安全问题对在共享办公室空间工作的任何人都构成了重大风险。这也影响了从未涉足WeWork但与总部设在WeWork的初创公司互动的公司。
尽管两家贷款公司在加利福尼亚和纽约设有办事处,但仍有敏感文件泄漏到WeWork的Wi-Fi网络上。其中一家公司拒绝置评,而另一家公司未回应置评请求。CNET保留其名称,因为带有银行帐户凭据的敏感文档仍在WeWork的网络上公开。
总部位于康涅狄格州的保险公司Axa XL也从未在WeWork设有办事处,但内部文件通过该大楼的网络公开-可能来自与该公司合作的一家初创公司。
“我们已经制定了严格的供应商管理计划,其中包括审查网络安全协议,” Axa XL在一份声明中说。“有效的网络安全需要不断改进,我们正在审查此事。”
总部位于英国的高管招聘公司汉诺威搜索集团(Hanover Search Group)在纽约的WeWork分支机构设有分支机构,并且在大楼网络上还公开了简历等文件。该公司拒绝置评。
可能的修复
Airamo在WeWork的Wi-Fi上发现安全问题后,他开始使用VPN来保护其数据免受其他潜在窥探的影响。
但是该安全措施存在不利之处。他的公司Viveca Media定期播放歌曲和音乐视频,而VPN大大降低了他的互联网速度。使用VPN三年后,Airamo决定寻找替代方案。
他定制了一台Raspberry Pi计算机来路由所有网络流量,并通过区块链ID对数据进行身份验证。他发表了有关加密工作原理的白皮书,但表示他还不打算出售该系统。Airamo说,目前,他专注于自己的媒体公司,而安全路由器仅供内部使用。
他说:“这对我们来说很方便,这是我们完成工作所需要的。这并不是我们作为一家公司实际要做的事情。”
如果您在WeWork工作,则可以使用VPN来确保数据安全。但是,如果您不能处理速度较慢的互联网,那么还有其他潜在的解决方法。最好的选择来自WeWork本身-如果您愿意承担费用。
一些酒店使用无线客户端隔离,因此其客人无法监视住在那里的每个人。本质上,它阻止了位于同一Wi-Fi网络上的人们能够看到彼此的活动。WeWork能够提供此服务,但仅提供安全性作为额外的费用。这是纽约一个人办公室每月720美元的月租费用的基础。
MerchGo的Spicer之前(大多数时候)已经配置了客户端隔离,这是一个非常简单的任务。他说:“通常,控制软件中的设置非常琐碎,以隔离客户端设备与本地网络之间的互通。”
独立安全研究员,GDI基金会成员Sanyam Jain说,WeWork还可以设置防火墙来阻止Wi-Fi扫描活动。
贾恩说:“ Wi-Fi防火墙可以持续监视恶意流量并自动断开任何新的接入点。” “ Wi-Fi防火墙不会依赖于员工安全地使用Wi-Fi,而是会破坏不合规的会话,以防止机密数据泄露。”
另一个简单的解决方法是为每个WeWork位置设置不同的密码。
潜在的修补程序将给WeWork带来安全负担,而不是每天使用其网络的成千上万的人。对于一个年轻的,热切的创业公司来说,已经有足够的工作要做,而不必担心数据的完整性。
Airamo说:“每个托管地点都在关注他们的业务。” “他们专注于如何经营自己的业务,他们甚至不认为别人可以看到他们在做什么。