WeWork社員がプリンター設定と印刷ジョブをアクセスするために使用している共有ユーザーアカウントに、驚くほど単純なパスワードが使われていた。あまりに単純だったので顧客のひとりが推測できた。
ロンドンのWeWorkシェアオフィスで仕事をしていたJake Elsley氏は、あるWeWork社員が誤ってアカウントにログインしたまま立ち去ったのを発見した。
Elsley氏を含め、WeWorkの利用者には通常、WeWorkのシェアオフィスで文書を印刷するために7桁のユーザー名と4桁のパスコードが割り当てられている。しかしWeWork社員が使っていたアカウントのユーザー名はわずか4桁の “9999”だった。Elsley氏はTechCrunchに、パスワードを推測できたと話した、なぜならユーザー名と同じだったから(”9999″は最もよく使われているパスワードの一つであり、極めて安全度が低い)。
“9999” アカウントは、WeWorkのオフィスで日々の業務を監督するコミュニティー・マネジャーの間で共有され、自分のプリント用アカウントを持たないビジター利用者の文書を印刷するために使われている。このアカウントから他の顧客アカウントの印刷ジョブにアクセスすることはできない。
Elsley氏は、その”9999″アカウントからはファイル名以上の文書内容を見ることはできなかったが、WeWorkの印刷ウェブポータルにログインすることで、”9999″ アカウントに送られた他のユーザーの印刷待ちジョブを、ネットワーク内のどのWeWorkプリンターにでも送ることができた、と語った。
その印刷ウェブポータルはWeWorkのWi-Fiネットワークからしかアクセスできないが、そこにはパスワードのない無料ゲストWi-Fiネットワークも含まれており、WeWorkのメインWi-Fiネットワークにはパスワードが設定されているものの、インターネットに広く出回っている、とElsely氏は言った。
Elsley氏はTechCrunchに連絡をとり、安全でないパスワードについて会社に警告するよう依頼した。
「WeWorkはメンバーと社員のプライバシーとセキュリティーの保護に全力を尽くしています」とWeWorkの広報担当者、Colin Hart氏は言った。「この潜在的問題について直ちに調査を行い、あらゆる懸念に対応するよう措置を講じました。また当社は、われわれの印刷能力をクラス最高水準のセキュリティーと体験のソリューションへと向上する複数月にわたるアップグレード作業をまもなく終えるところです。この作業は数週間以内に完了する見込みです」
WeWorkは、その後”9999″ ユーザーアカウントのパスワード変更したことを確認した。
関連記事:
Decrypted: How Twitter was hacked, GitHub DMCA backfires
画像クレジット:Timothy A. Clary / Getty Images
[原文へ]
(翻訳:Nob Takahashi / facebook )
