當Teemu Airamo搬到公司在共享工作區提供商WeWork中位于曼哈頓的新辦公室時(shí)，他的首要任務(wù)是：對大樓的Wi-Fi網(wǎng)絡(luò )進(jìn)行安全掃描。畢竟，他與200多家在金融區中心共同工作的公司共享了一個(gè)空間，不想讓任何人窺探。

那是2015年5月，Airamo的數字媒體公司正在處理合同和敏感文件。他承受不起被黑客入侵的負擔。因此，當他看到大樓網(wǎng)絡(luò )上完全可見(jiàn)其他數百家公司的設備和財務(wù)記錄時(shí)，Airamo感到震驚。

他說(shuō)：“對我來(lái)說(shuō)，這幾乎是'天哪'。” 他回憶起立即去找WeWork社區經(jīng)理，并展示了影響該建筑物中所有人員的安全漏洞。

“我說(shuō)，'你知道我們實(shí)際上可以看到這一切嗎?' 他回憶說(shuō)：“答案是，是的，嗯。”

四年多以后，在多次嘗試聯(lián)系WeWork(包括其高層管理人員)之后，一切都沒(méi)有改變。Airamo之所以知道這一點(diǎn)，是因為他定期在WeWork網(wǎng)絡(luò )上運行Wi-Fi掃描，并從其辦公室周?chē)墓局胁檎邑攧?wù)記錄，商業(yè)交易，客戶(hù)數據庫和電子郵件。

CNET審查了掃描結果，其中658臺設備(包括計算機，服務(wù)器和咖啡機)暴露在WeWork的網(wǎng)絡(luò )上，泄漏出了“天文數字”的數據。

WeWork的Wi-Fi安全性的脆弱性在8月的《快速公司》(Fast Company)報告中首次曝光，而這對于WeWork來(lái)說(shuō)是個(gè)尷尬的時(shí)刻，在周二，由于投資者對其價(jià)值提出疑問(wèn)，WeWork 推遲了其計劃的首次公開(kāi)募股。它還突顯了共享工作區以及與其他人共享您的Wi-Fi網(wǎng)絡(luò )日益普及的缺點(diǎn)之一。

公共Wi-Fi 一直是安全問(wèn)題，這就是為什么人們建議不要在酒店，咖啡廳和機場(chǎng)使用開(kāi)放式網(wǎng)絡(luò )。但是，當它在諸如WeWork之類(lèi)的協(xié)同工作空間中建立網(wǎng)絡(luò )時(shí)，風(fēng)險就更大了，那里有數百家企業(yè)為此付費，并依賴(lài)該建筑物的便利設施，包括互聯(lián)網(wǎng)接入。

在WeWork的網(wǎng)站上，“超高速互聯(lián)網(wǎng)”是第一個(gè)列出的便利設施，但是安全性在任何地方都沒(méi)有提及。更糟糕的是，WeWork廣闊的土地上的多個(gè)位置都為其Wi-Fi網(wǎng)絡(luò )使用完全相同的密碼。

MerchGo首席技術(shù)官，安全研究員邁克·斯派塞(Mike Spicer)說(shuō)：“如果您使用的是開(kāi)放網(wǎng)絡(luò )，則該信息可能會(huì )泄漏出去。”他在黑客大會(huì )上花了多年時(shí)間監視開(kāi)放的Wi-Fi網(wǎng)絡(luò )。“對于任何能夠看到該數據的人來(lái)說(shuō)，基本上都是開(kāi)放供選擇的。”

WeWork無(wú)法透露有關(guān)Airamo投訴的詳細信息，理由是政府在即將進(jìn)行的IPO中規定了平靜的時(shí)期。但是它提供了對其安全策略的全面防御。

WeWork發(fā)言人在一份聲明中說(shuō)：“ WeWork認真對待會(huì )員的安全和隱私，我們致力于保護會(huì )員免受數字和物理威脅的侵害。” “除了我們的標準WeWork網(wǎng)絡(luò )外，我們還為成員提供選擇各種增強的安全性功能的選項，例如私有VLAN，私有SSID或專(zhuān)用的端到端物理網(wǎng)絡(luò )堆棧。”

WeWork的更高安全措施不是免費的。專(zhuān)用VLAN每月額外花費$ 95，另加$ 250的安裝費。根據該公司的網(wǎng)站，私人辦公室網(wǎng)絡(luò )每月的費用為195美元。

批評者認為應該包括保護。

Spicer說(shuō)：“為用戶(hù)提供軟件包中包含的基準安全級別是合理的。”

擔心

WeWork是一家房地產(chǎn)公司，通過(guò)為初創(chuàng )企業(yè)和其他企業(yè)出租共享的辦公空間而大受歡迎。根據其網(wǎng)站，它在全球125個(gè)城市中擁有833多個(gè)地點(diǎn)。

該公司于2018年提交IPO申請，并一度擁有470億美元的估值，擁有超過(guò)52.7萬(wàn)名成員出租其空間。

共享的工作空間通過(guò)其Wi-Fi網(wǎng)絡(luò )構成了安全威脅。

就像Airamo在CNET上顯示的那樣，密碼在WeWork的應用程序上以純文本形式顯示，幾乎和使用“密碼”一詞一樣糟糕。

他還使用相同的密碼顯示了紐約附近的多個(gè)WeWork地點(diǎn)，并在加利福尼亞州的辦公室發(fā)現了相同的問(wèn)題。

企業(yè)IT安全人員始終擔心內部威脅-即建筑物中的一名員工正在竊取公司數據。有了WeWork這樣的合作空間，任何人都可以成為內部人員。

雖然WeWork主要由會(huì )員使用，但任何人都可以每天50美元的價(jià)格預訂一日通行證，或每小時(shí)25美元的會(huì )議室。那將是潛在的黑客進(jìn)入建筑物和Wi-Fi密碼的全部。

Airamo說(shuō)：“每天都有數百人進(jìn)出。”

他們所需要的只是Wi-Fi嗅探設備(例如 Pineapple)或軟件(例如 Wireshark) 來(lái)收集數據。而且，WeWork的網(wǎng)絡(luò )安全性無(wú)可避免–沒(méi)有防火墻阻止流氓活動(dòng)或分隔網(wǎng)絡(luò )。

無(wú)線(xiàn)發(fā)現的秘密

Airamo偶爾在WeWork的Wi-Fi網(wǎng)絡(luò )上運行掃描，以查看是否有任何安全措施發(fā)生更改，或者在該處工作的其他租戶(hù)是否使用了更好的保護方法。

每次，他都會(huì )看到大量敏感數據暴露在網(wǎng)絡(luò )上，除了WeWork易于破解的密碼之外，沒(méi)有任何安全措施。

Airamo說(shuō)，他發(fā)現這些文件時(shí)沒(méi)有任何別有用心，但他指出，它是如此簡(jiǎn)單，以至于惡意黑客可以輕松地做到這一點(diǎn)。他敦促WeWork修復這些安全漏洞。

Airamo說(shuō)：“我們已經(jīng)多次與WeWork的人員接觸，以解決如何實(shí)際解決此問(wèn)題。” “ 2015年第一位社區經(jīng)理最初完全否認這是一個(gè)問(wèn)題。”

在暴露的網(wǎng)絡(luò )上共享的文件包括對人的駕駛執照，護照，工作申請，銀行帳戶(hù)用戶(hù)名和密碼，合同，財務(wù)文件，訴訟和健康記錄的掃描。

Airamo說(shuō)：“建筑物，金融公司，不同行業(yè)左右的公司中發(fā)生了各種各樣的事情。” “在這座大樓內，我們有許多金融公司，法律公司，還有一些隨機的電話(huà)推銷(xiāo)員。”

并非WeWork網(wǎng)絡(luò )上共享的所有文件都是敏感記錄。Airamo還看到了畢業(yè)照片和生日賀卡等文件，演員Nicolas Cage被編輯成看起來(lái)像只貓。

但是對于敏感文件，安全問(wèn)題對在共享辦公室空間工作的任何人都構成了重大風(fēng)險。這也影響了從未涉足WeWork但與總部設在WeWork的初創(chuàng )公司互動(dòng)的公司。

盡管兩家貸款公司在加利福尼亞和紐約設有辦事處，但仍有敏感文件泄漏到WeWork的Wi-Fi網(wǎng)絡(luò )上。其中一家公司拒絕置評，而另一家公司未回應置評請求。CNET保留其名稱(chēng)，因為帶有銀行帳戶(hù)憑據的敏感文檔仍在WeWork的網(wǎng)絡(luò )上公開(kāi)。

總部位于康涅狄格州的保險公司Axa XL也從未在WeWork設有辦事處，但內部文件通過(guò)該大樓的網(wǎng)絡(luò )公開(kāi)-可能來(lái)自與該公司合作的一家初創(chuàng )公司。

“我們已經(jīng)制定了嚴格的供應商管理計劃，其中包括審查網(wǎng)絡(luò )安全協(xié)議，” Axa XL在一份聲明中說(shuō)。“有效的網(wǎng)絡(luò )安全需要不斷改進(jìn)，我們正在審查此事。”

總部位于英國的高管招聘公司漢諾威搜索集團(Hanover Search Group)在紐約的WeWork分支機構設有分支機構，并且在大樓網(wǎng)絡(luò )上還公開(kāi)了簡(jiǎn)歷等文件。該公司拒絕置評。

可能的修復

Airamo在WeWork的Wi-Fi上發(fā)現安全問(wèn)題后，他開(kāi)始使用VPN來(lái)保護其數據免受其他潛在窺探的影響。

但是該安全措施存在不利之處。他的公司Viveca Media定期播放歌曲和音樂(lè )視頻，而VPN大大降低了他的互聯(lián)網(wǎng)速度。使用VPN三年后，Airamo決定尋找替代方案。

他定制了一臺Raspberry Pi計算機來(lái)路由所有網(wǎng)絡(luò )流量，并通過(guò)區塊鏈ID對數據進(jìn)行身份驗證。他發(fā)表了有關(guān)加密工作原理的白皮書(shū)，但表示他還不打算出售該系統。Airamo說(shuō)，目前，他專(zhuān)注于自己的媒體公司，而安全路由器僅供內部使用。

他說(shuō)：“這對我們來(lái)說(shuō)很方便，這是我們完成工作所需要的。這并不是我們作為一家公司實(shí)際要做的事情。”

如果您在WeWork工作，則可以使用VPN來(lái)確保數據安全。但是，如果您不能處理速度較慢的互聯(lián)網(wǎng)，那么還有其他潛在的解決方法。最好的選擇來(lái)自WeWork本身-如果您愿意承擔費用。

一些酒店使用無(wú)線(xiàn)客戶(hù)端隔離，因此其客人無(wú)法監視住在那里的每個(gè)人。本質(zhì)上，它阻止了位于同一Wi-Fi網(wǎng)絡(luò )上的人們能夠看到彼此的活動(dòng)。WeWork能夠提供此服務(wù)，但僅提供安全性作為額外的費用。這是紐約一個(gè)人辦公室每月720美元的月租費用的基礎。

MerchGo的Spicer之前(大多數時(shí)候)已經(jīng)配置了客戶(hù)端隔離，這是一個(gè)非常簡(jiǎn)單的任務(wù)。他說(shuō)：“通常，控制軟件中的設置非?，嵥?，以隔離客戶(hù)端設備與本地網(wǎng)絡(luò )之間的互通。”

獨立安全研究員，GDI基金會(huì )成員Sanyam Jain說(shuō)，WeWork還可以設置防火墻來(lái)阻止Wi-Fi掃描活動(dòng)。

賈恩說(shuō)：“ Wi-Fi防火墻可以持續監視惡意流量并自動(dòng)斷開(kāi)任何新的接入點(diǎn)。” “ Wi-Fi防火墻不會(huì )依賴(lài)于員工安全地使用Wi-Fi，而是會(huì )破壞不合規的會(huì )話(huà)，以防止機密數據泄露。”

另一個(gè)簡(jiǎn)單的解決方法是為每個(gè)WeWork位置設置不同的密碼。

潛在的修補程序將給WeWork帶來(lái)安全負擔，而不是每天使用其網(wǎng)絡(luò )的成千上萬(wàn)的人。對于一個(gè)年輕的，熱切的創(chuàng )業(yè)公司來(lái)說(shuō)，已經(jīng)有足夠的工作要做，而不必擔心數據的完整性。

Airamo說(shuō)：“每個(gè)托管地點(diǎn)都在關(guān)注他們的業(yè)務(wù)。” “他們專(zhuān)注于如何經(jīng)營(yíng)自己的業(yè)務(wù)，他們甚至不認為別人可以看到他們在做什么。