Verkauft man ein elektronisches Gerät weiter, sollte man tunlichst persönliche Daten vorher von selbigem entfernen. Was für Festplatten oder Smartphones gilt, gilt freilich auch für Hardware, die Teil der Infrastruktur sind – zum Beispiel Router.

Wie der Käufer eines generalüberholten Routers nun feststellen konnte, unterlaufen in dieser Hinsicht auch großen IT-Konzernen Anfängerfehler. Im konkreten Falle: Google.

Wichtige Daten auf Gebrauchtgerät

Zwei Informatiker, sie berichten auf Heise Security im Detail, erwarben im Netz einen Juniper J6350, ein Gerät das vor allem für den betrieblichen Einsatz gedacht ist. Schon beim Bootvorgang verriet der Output des Gerätes, dass hier offenbar kein Werks-Reset durchgeführt worden war.

Sie nutzten die Passwort-Rücksetzungsfunktion, um sich mehr Einblick zu verschaffen und fanden heraus, dass das Gerät einst in einem internen Netzwerk von Google seinen Dienst verrichtet hatte. Der Datenbestand war ausgesprochen groß und enthielt auch äußerst sensible Informationen, die wohl die Ermittlung von Passwörtern für Systeme des Unternehmens ermöglicht hätten.

Google zahlt Finderlohn

Ähnlich dürfte das auch Google selbst sehen. Nachdem die beiden Experten das Unternehmen über dessen Vulnerability Reward Program kontaktiert hatten, wurde ihnen ein Finderlohn von 5.000 Dollar ausgezahlt. Den Fund erst ermöglicht hat ein Problem im Rahmen des Veräußerungsprozesses für ausgemusterte Geräte haben, das mittlerweile beseitigt sein soll. (gpi, 06.10.2015)