plumpsack hat geschrieben: ↑23 Aug 2022, 20:21
Da fällt mir noch folgender Satz zu ein:
"Das haben wir schon immer so gemacht ..."
Nur echt mit dem Zusatz "Und es hat immer funktioniert."
BTW:
Ich setze Telefonanlagen eines bestimmten Herstellers ein. Der sagt sicherheitshalber: Die Anlagen NICHT von außen erreichbar machen, dafür sind sie nicht freigegeben, nur über VPN arbeiten - ansonsten geschieht der Betrieb auf eigene Gefahr.
Ich habe mir mal den Spaß erlaubt, die Anlagen über Shodan zu suchen.
Genug Treffer (Foul!).
Dann habe ich mal bei einigen spaßeshalber (ach ne, "Aus Versehen") die IP-Adresse aufgerufen.
Und wenn man dann als Nutzer "admin" und als PW eine vierstellige Zahl (!) eingibt, die wohldokumentiert das voreingestellte Standardpasswort ist, um systemintern eine Konfigurationsebene freizuschalten - dann kommt man auf die Anlagen-Konfiguration und hat Vollzugriff auf ALLES.
Das Standardpasswort war NIE für die WEB-GUI vorgesehen und falls man es manuell dafür einträgt, kommt auch eine Warnung (zu kurz, zu einfach!).
Wie schmerz- und merkbefreit ist man eigentlich?
Ich war auch etwas erschrocken, wieviele "alte Möhren" von Lancom man mit so einer Google-Suche finden kann. LÄNGST ohne Support, Firmware von Neunzehnhundertnochwas...