WeWork薄弱的Wi-Fi安全性使敏感文檔暴露在外

當Teemu Airamo搬到公司在共享工作區(qū)提供商WeWork中位于曼哈頓的新辦公室時，他的首要任務是：對大樓的Wi-Fi網絡進行安全掃描。畢竟，他與200多家在金融區(qū)中心共同工作的公司共享了一個空間，不想讓任何人窺探。

那是2015年5月，Airamo的數字媒體公司正在處理合同和敏感文件。他承受不起被黑客入侵的負擔。因此，當他看到大樓網絡上完全可見其他數百家公司的設備和財務記錄時，Airamo感到震驚。

他說：“對我來說，這幾乎是'天哪'。” 他回憶起立即去找WeWork社區(qū)經理，并展示了影響該建筑物中所有人員的安全漏洞。

“我說，'你知道我們實際上可以看到這一切嗎?' 他回憶說：“答案是，是的，嗯。”

四年多以后，在多次嘗試聯(lián)系WeWork(包括其高層管理人員)之后，一切都沒有改變。Airamo之所以知道這一點，是因為他定期在WeWork網絡上運行Wi-Fi掃描，并從其辦公室周圍的公司中查找財務記錄，商業(yè)交易，客戶數據庫和電子郵件。

CNET審查了掃描結果，其中658臺設備(包括計算機，服務器和咖啡機)暴露在WeWork的網絡上，泄漏出了“天文數字”的數據。

WeWork的Wi-Fi安全性的脆弱性在8月的《快速公司》(Fast Company)報告中首次曝光，而這對于WeWork來說是個尷尬的時刻，在周二，由于投資者對其價值提出疑問，WeWork 推遲了其計劃的首次公開募股。它還突顯了共享工作區(qū)以及與其他人共享您的Wi-Fi網絡日益普及的缺點之一。

公共Wi-Fi 一直是安全問題，這就是為什么人們建議不要在酒店，咖啡廳和機場使用開放式網絡。但是，當它在諸如WeWork之類的協(xié)同工作空間中建立網絡時，風險就更大了，那里有數百家企業(yè)為此付費，并依賴該建筑物的便利設施，包括互聯(lián)網接入。

在WeWork的網站上，“超高速互聯(lián)網”是第一個列出的便利設施，但是安全性在任何地方都沒有提及。更糟糕的是，WeWork廣闊的土地上的多個位置都為其Wi-Fi網絡使用完全相同的密碼。

MerchGo首席技術官，安全研究員邁克·斯派塞(Mike Spicer)說：“如果您使用的是開放網絡，則該信息可能會泄漏出去。”他在黑客大會上花了多年時間監(jiān)視開放的Wi-Fi網絡。“對于任何能夠看到該數據的人來說，基本上都是開放供選擇的。”

WeWork無法透露有關Airamo投訴的詳細信息，理由是政府在即將進行的IPO中規(guī)定了平靜的時期。但是它提供了對其安全策略的全面防御。

WeWork發(fā)言人在一份聲明中說：“ WeWork認真對待會員的安全和隱私，我們致力于保護會員免受數字和物理威脅的侵害。” “除了我們的標準WeWork網絡外，我們還為成員提供選擇各種增強的安全性功能的選項，例如私有VLAN，私有SSID或專用的端到端物理網絡堆棧。”

WeWork的更高安全措施不是免費的。專用VLAN每月額外花費$ 95，另加$ 250的安裝費。根據該公司的網站，私人辦公室網絡每月的費用為195美元。

批評者認為應該包括保護。

Spicer說：“為用戶提供軟件包中包含的基準安全級別是合理的。”

擔心

WeWork是一家房地產公司，通過為初創(chuàng)企業(yè)和其他企業(yè)出租共享的辦公空間而大受歡迎。根據其網站，它在全球125個城市中擁有833多個地點。

該公司于2018年提交IPO申請，并一度擁有470億美元的估值，擁有超過52.7萬名成員出租其空間。

共享的工作空間通過其Wi-Fi網絡構成了安全威脅。

就像Airamo在CNET上顯示的那樣，密碼在WeWork的應用程序上以純文本形式顯示，幾乎和使用“密碼”一詞一樣糟糕。

他還使用相同的密碼顯示了紐約附近的多個WeWork地點，并在加利福尼亞州的辦公室發(fā)現了相同的問題。

企業(yè)IT安全人員始終擔心內部威脅-即建筑物中的一名員工正在竊取公司數據。有了WeWork這樣的合作空間，任何人都可以成為內部人員。

雖然WeWork主要由會員使用，但任何人都可以每天50美元的價格預訂一日通行證，或每小時25美元的會議室。那將是潛在的黑客進入建筑物和Wi-Fi密碼的全部。

Airamo說：“每天都有數百人進出。”

他們所需要的只是Wi-Fi嗅探設備(例如 Pineapple)或軟件(例如 Wireshark) 來收集數據。而且，WeWork的網絡安全性無可避免–沒有防火墻阻止流氓活動或分隔網絡。

無線發(fā)現的秘密

Airamo偶爾在WeWork的Wi-Fi網絡上運行掃描，以查看是否有任何安全措施發(fā)生更改，或者在該處工作的其他租戶是否使用了更好的保護方法。

每次，他都會看到大量敏感數據暴露在網絡上，除了WeWork易于破解的密碼之外，沒有任何安全措施。

Airamo說，他發(fā)現這些文件時沒有任何別有用心，但他指出，它是如此簡單，以至于惡意黑客可以輕松地做到這一點。他敦促WeWork修復這些安全漏洞。

Airamo說：“我們已經多次與WeWork的人員接觸，以解決如何實際解決此問題。” “ 2015年第一位社區(qū)經理最初完全否認這是一個問題。”

在暴露的網絡上共享的文件包括對人的駕駛執(zhí)照，護照，工作申請，帳戶用戶名和密碼，合同，財務文件，訴訟和健康記錄的掃描。

Airamo說：“建筑物，金融公司，不同行業(yè)左右的公司中發(fā)生了各種各樣的事情。” “在這座大樓內，我們有許多金融公司，法律公司，還有一些隨機的電話推銷員。”

并非WeWork網絡上共享的所有文件都是敏感記錄。Airamo還看到了畢業(yè)照片和生日賀卡等文件，演員Nicolas Cage被編輯成看起來像只貓。

但是對于敏感文件，安全問題對在共享辦公室空間工作的任何人都構成了重大風險。這也影響了從未涉足WeWork但與總部設在WeWork的初創(chuàng)公司互動的公司。

盡管兩家貸款公司在加利福尼亞和紐約設有辦事處，但仍有敏感文件泄漏到WeWork的Wi-Fi網絡上。其中一家公司拒絕置評，而另一家公司未回應置評請求。CNET保留其名稱，因為帶有帳戶憑據的敏感文檔仍在WeWork的網絡上公開。

總部位于康涅狄格州的保險公司Axa XL也從未在WeWork設有辦事處，但內部文件通過該大樓的網絡公開-可能來自與該公司合作的一家初創(chuàng)公司。

“我們已經制定了嚴格的供應商管理計劃，其中包括審查網絡安全協(xié)議，” Axa XL在一份聲明中說。“有效的網絡安全需要不斷改進，我們正在審查此事。”

總部位于英國的高管招聘公司漢諾威搜索集團(Hanover Search Group)在紐約的WeWork分支機構設有分支機構，并且在大樓網絡上還公開了簡歷等文件。該公司拒絕置評。

可能的修復

Airamo在WeWork的Wi-Fi上發(fā)現安全問題后，他開始使用VPN來保護其數據免受其他潛在窺探的影響。

但是該安全措施存在不利之處。他的公司Viveca Media定期播放歌曲和音樂視頻，而VPN大大降低了他的互聯(lián)網速度。使用VPN三年后，Airamo決定尋找替代方案。

他定制了一臺Raspberry Pi計算機來路由所有網絡流量，并通過區(qū)塊鏈ID對數據進行身份驗證。他發(fā)表了有關加密工作原理的白皮書，但表示他還不打算出售該系統(tǒng)。Airamo說，目前，他專注于自己的媒體公司，而安全路由器僅供內部使用。

他說：“這對我們來說很方便，這是我們完成工作所需要的。這并不是我們作為一家公司實際要做的事情。”

如果您在WeWork工作，則可以使用VPN來確保數據安全。但是，如果您不能處理速度較慢的互聯(lián)網，那么還有其他潛在的解決方法。最好的選擇來自WeWork本身-如果您愿意承擔費用。

一些酒店使用無線客戶端隔離，因此其客人無法監(jiān)視住在那里的每個人。本質上，它阻止了位于同一Wi-Fi網絡上的人們能夠看到彼此的活動。WeWork能夠提供此服務，但僅提供安全性作為額外的費用。這是紐約一個人辦公室每月720美元的月租費用的基礎。

MerchGo的Spicer之前(大多數時候)已經配置了客戶端隔離，這是一個非常簡單的任務。他說：“通常，控制軟件中的設置非?，嵥椋愿綦x客戶端設備與本地網絡之間的互通。”

獨立安全研究員，GDI基金會成員Sanyam Jain說，WeWork還可以設置防火墻來阻止Wi-Fi掃描活動。

賈恩說：“ Wi-Fi防火墻可以持續(xù)監(jiān)視惡意流量并自動斷開任何新的接入點。” “ Wi-Fi防火墻不會依賴于員工安全地使用Wi-Fi，而是會破壞不合規(guī)的會話，以防止機密數據泄露。”

另一個簡單的解決方法是為每個WeWork位置設置不同的密碼。

潛在的修補程序將給WeWork帶來安全負擔，而不是每天使用其網絡的成千上萬的人。對于一個年輕的，熱切的創(chuàng)業(yè)公司來說，已經有足夠的工作要做，而不必擔心數據的完整性。

Airamo說：“每個托管地點都在關注他們的業(yè)務。” “他們專注于如何經營自己的業(yè)務，他們甚至不認為別人可以看到他們在做什么。