便利貼上的密碼，讓健身房變成了"80年代恐怖片現場"

歡迎回到"被黑了"專欄。在這里，我們分享來自IT從業者的親身經歷——他們自己踩過坑，或者親眼目睹別人踩坑。本期故事告訴我們：即便是安裝健身器材這樣看似簡單的工作，也絕對不能把安全憑證隨意留在外面。

本周的故事主人公，我們姑且稱他為JC，他經營一家銷售和安裝二手健身器材的公司。他曾與一家酒店簽訂合同，負責安裝一批配備視頻屏幕的有氧健身設備，讓健身的客人可以通過局域網觀看Netflix。

然而，JC的一名員工在其中一臺跑步機上貼了一張便利貼，上面寫著設備的默認管理員PIN碼。結果，一位酒店住客發現了這張便利貼，登錄了控制面板，開始播放80年代的音樂視頻。我們不知道這位"搗蛋旅客"具體點播了哪些歌曲，但不難猜到，Olivia Newton-John的《Physical》很可能排在歌單第一位。

酒店前臺員工聽到健身房里傳來奇怪的音樂聲，一時以為健身房"鬧鬼"了。后來才弄清楚，原來是有人把YouTube開著走人了，根本沒有登錄Netflix。所幸，這位"攻擊者"并未造成實質性損害。但如果換成一個更有企圖心的人控制了這些設備，后果就難以預料了——這些機器完全可能被用于發起命令與控制攻擊。

對此，JC表示他將這次事件視為一次寶貴的教訓。現在，他的團隊會將所有終端設備隔離在訪客VLAN中，修改默認密碼，甚至會禁用健身設備上的USB接口。他們在設備老化測試階段就完成補丁更新，還會鎖定網絡面板，防止任何人拔出網線、將自己的設備接入局域網。

Forrester Research副總裁兼研究總監Merritt Maxim表示，他還建議在防火墻層面限制出站訪問，確保健身器材只能與Netflix之間收發數據。否則，一旦黑客控制了健身設備，造成的破壞將遠不止于此。

上周我們講過一臺咖啡機如何成為企業網絡的安全威脅入口。這次的情況與之如出一轍，兩個故事共同說明了一件事：無論一臺聯網設備看起來多么"人畜無害"，做好安全防護都至關重要。

如果你也有過類似"網絡被開了大口子"的故事，歡迎發送至 pwned@sitpub.com，我們可以為你保密。

Q&A

Q1：這次健身房安全事件是怎么發生的？

A：一家酒店的健身器材安裝人員將設備默認管理員PIN碼寫在便利貼上，直接貼在跑步機上。一位住客發現后登錄了控制面板，播放起80年代的音樂視頻。這位住客并未造成實際損害，但如果是惡意攻擊者，則可能利用這些設備發起命令與控制攻擊。

Q2：健身房聯網設備被入侵會有哪些風險？

A：聯網健身設備一旦被惡意控制，不只是播放音樂視頻這么簡單。攻擊者可以將其用于命令與控制攻擊，滲透到更大范圍的局域網，甚至借此攻擊酒店內網中的其他系統。Forrester Research的專家建議在防火墻層面限制這類設備的出站訪問，讓其只能連接特定服務，從而降低風險。

Q3：安裝健身器材后應該采取哪些安全措施？

A：根據這次事件的經驗，安裝方事后采取了多項改進措施：將所有終端隔離在訪客VLAN中、修改設備默認密碼、禁用USB接口、在老化測試階段完成補丁更新，并鎖定網絡面板防止他人隨意插拔網線。安全專家還建議在防火墻層面對這類設備的網絡訪問權限進行嚴格限制。