Один пароль по умолчанию открывает доступ к десяткам многоквартирных домов

Исследователь по вопросам безопасности утверждает, что пароль по умолчанию, установленный в широко используемой системе контроля доступа к дверям, позволяет любому человеку легко и удаленно получить доступ к дверным замкам и управлению лифтами в десятках зданий по всей территории США и Канады.

Компания Hirsch, которой теперь принадлежит система доступа к дверям Enterphone MESH, не собирается устранять уязвимость, заявляя, что ошибка является намеренной и что клиентам следовало следовать инструкциям компании по настройке и изменить пароль по умолчанию.

По словам Эрика Дейгла , обнаружившего десятки уязвимых зданий, в результате этого по всей Северной Америке остаются десятки незащищенных жилых и офисных зданий, в которых до сих пор не изменен пароль по умолчанию системы контроля доступа или которые не знают, что им следует это сделать.

Пароли по умолчанию не являются чем-то необычным и не обязательно секретом в устройствах, подключенных к Интернету; пароли, поставляемые с продуктами, обычно предназначены для упрощения доступа к входу для клиента и часто находятся в их руководстве по эксплуатации. Но надежда на то, что клиент изменит пароль по умолчанию, чтобы предотвратить любой будущий злонамеренный доступ , по-прежнему классифицируется как уязвимость безопасности внутри самого продукта.

В случае с дверными системами Hirsch клиентам, устанавливающим систему, не предлагается и не требуется менять пароль по умолчанию.

Таким образом, Daigle приписывают обнаружение уязвимости безопасности, официально обозначенной как CVE-2025-26793 .

Пароли по умолчанию уже давно являются проблемой для подключенных к Интернету устройств, позволяя злонамеренным хакерам использовать пароли для входа в систему, как если бы они были законными владельцами, и красть данные или захватывать устройства, чтобы использовать их пропускную способность для запуска кибератак. В последние годы правительства пытались подтолкнуть производителей технологий от использования небезопасных паролей по умолчанию, учитывая риски безопасности, которые они представляют.

В случае с системой входа в дом Hirsch ошибка оценивается как 10 из 10 по шкале серьезности уязвимости, благодаря легкости, с которой любой может ею воспользоваться. На практике эксплуатация ошибки так же проста, как взятие пароля по умолчанию из руководства по установке системы на веб-сайте Hirsch и ввод пароля на странице входа в систему с выходом в Интернет в любой затронутой системе здания.

В сообщении в блоге Дейгл сказал, что он обнаружил уязвимость в прошлом году, обнаружив одну из панелей ввода MESH Enterphone производства Hirsch на здании в его родном городе Ванкувере. Дейгл использовал сайт интернет-сканирования ZoomEye для поиска систем MESH Enterphone, подключенных к Интернету, и обнаружил 71 систему, которые по-прежнему полагались на предоставленные по умолчанию учетные данные.

Дейгл сказал, что пароль по умолчанию позволяет получить доступ к веб-системе бэкэнда MESH, которую управляющие зданиями используют для управления доступом к лифтам, общим зонам, а также замкам офисных и жилых дверей. Каждая система отображает физический адрес здания с установленной системой MESH, что позволяет любому, кто входит в систему, узнать, к какому зданию у него был доступ.

Дейгл заявил, что в любое из десятков пострадавших зданий можно было проникнуть за считанные минуты, не привлекая внимания.

TechCrunch вмешался, поскольку у Хирша нет средств, таких как страница с информацией об уязвимостях, чтобы представители общественности, такие как Дейгл, могли сообщить компании об уязвимости.

Генеральный директор Hirsch Марк Аллен не ответил на запрос TechCrunch о комментарии, а вместо этого обратился к старшему менеджеру по продуктам Hirsch, который сообщил TechCrunch, что использование компанией паролей по умолчанию «устарело» (не уточнив, как именно). Менеджер по продуктам сказал, что «столь же тревожно» то, что есть клиенты, которые «устанавливают системы и не следуют рекомендациям производителей», ссылаясь на собственные инструкции Hirsch по установке.

Компания Hirsch не стала раскрывать подробности об ошибке, но сообщила, что связалась со своими клиентами и попросила их следовать инструкции по эксплуатации продукта.

Поскольку Хирш не желает исправить ошибку, некоторые здания — и их жильцы — вероятно, останутся уязвимыми. Ошибка показывает, что выбор разработки продукта из прошлых лет может вернуться, чтобы иметь реальные последствия годы спустя.