Una singola password predefinita espone l'accesso a decine di condomini

Un ricercatore in materia di sicurezza afferma che la password predefinita fornita con un diffuso sistema di controllo degli accessi alle porte consente a chiunque di accedere facilmente e da remoto alle serrature delle porte e ai comandi degli ascensori in decine di edifici negli Stati Uniti e in Canada.

Hirsch, l'azienda che ora possiede il sistema di accesso alle porte Enterphone MESH, non risolverà la vulnerabilità, affermando che il bug è intenzionale e che i clienti avrebbero dovuto seguire le istruzioni di installazione dell'azienda e modificare la password predefinita.

Ciò lascia decine di edifici residenziali e uffici esposti in tutto il Nord America che non hanno ancora cambiato la password predefinita del loro sistema di controllo degli accessi o non sanno di doverlo fare, secondo Eric Daigle , che ha trovato le decine di edifici esposti.

Le password predefinite non sono rare né necessariamente un segreto nei dispositivi connessi a Internet; le password spedite con i prodotti sono in genere progettate per semplificare l'accesso al login per il cliente e spesso si trovano nel loro manuale di istruzioni. Ma fare affidamento su un cliente per cambiare una password predefinita per impedire qualsiasi futuro accesso dannoso è comunque classificato come una vulnerabilità di sicurezza all'interno del prodotto stesso.

Nel caso dei prodotti di ingresso Hirsch, ai clienti che installano il sistema non viene chiesto né è necessario modificare la password predefinita.

Per questo motivo, a Daigle è stata attribuita la scoperta del bug di sicurezza, formalmente denominato CVE-2025-26793 .

Le password predefinite sono da tempo un problema per i dispositivi connessi a Internet, consentendo agli hacker malintenzionati di utilizzare le password per effettuare l'accesso come se fossero i legittimi proprietari e rubare dati, o dirottare i dispositivi per sfruttare la loro larghezza di banda per lanciare attacchi informatici. Negli ultimi anni, i governi hanno cercato di dissuadere i produttori di tecnologia dall'utilizzare password predefinite non sicure, dati i rischi per la sicurezza che presentano.

Nel caso del sistema di ingresso porta di Hirsch, il bug è valutato 10 su 10 sulla scala di gravità della vulnerabilità, grazie alla facilità con cui chiunque può sfruttarlo. In pratica, sfruttare il bug è semplice come prendere la password predefinita dalla guida all'installazione del sistema sul sito Web di Hirsch e inserire la password nella pagina di accesso rivolta a Internet su qualsiasi sistema dell'edificio interessato.

In un post del blog , Daigle ha affermato di aver scoperto la vulnerabilità l'anno scorso dopo aver scoperto uno dei pannelli di ingresso Enterphone MESH realizzati da Hirsch su un edificio nella sua città natale, Vancouver. Daigle ha utilizzato il sito di scansione Internet ZoomEye per cercare sistemi Enterphone MESH connessi a Internet e ha trovato 71 sistemi che si basavano ancora sulle credenziali predefinite.

Daigle ha affermato che la password predefinita consente l'accesso al sistema backend basato sul Web di MESH, che i gestori degli edifici utilizzano per gestire l'accesso agli ascensori, alle aree comuni e alle serrature delle porte degli uffici e delle abitazioni. Ogni sistema visualizza l'indirizzo fisico dell'edificio in cui è installato il sistema MESH, consentendo a chiunque effettui l'accesso di sapere a quale edificio ha avuto accesso.

Daigle ha affermato che è possibile introdursi con efficacia in uno qualsiasi delle decine di edifici interessati in pochi minuti, senza attirare l'attenzione.

TechCrunch è intervenuta perché Hirsch non ha i mezzi, come una pagina di divulgazione delle vulnerabilità, per consentire a cittadini come Daigle di segnalare all'azienda una falla di sicurezza.

Il CEO di Hirsch Mark Allen non ha risposto alla richiesta di commento di TechCrunch, ma ha invece rimandato la questione a un product manager senior di Hirsch, che ha detto a TechCrunch che l'uso di password predefinite da parte dell'azienda è "obsoleto" (senza dire come). Il product manager ha detto che era "altrettanto preoccupante" che ci fossero clienti che "hanno installato sistemi e non stanno seguendo le raccomandazioni dei produttori", riferendosi alle istruzioni di installazione di Hirsch.

Hirsch non ha voluto rivelare pubblicamente i dettagli del bug, ma ha affermato di aver contattato i propri clienti per chiedere loro di seguire il manuale di istruzioni del prodotto.

Con Hirsch che non è disposto a risolvere il bug, è probabile che alcuni edifici, e i loro occupanti, rimangano esposti. Il bug dimostra che le scelte di sviluppo del prodotto di ieri possono tornare ad avere implicazioni nel mondo reale anni dopo.