Uma única senha padrão expõe o acesso a dezenas de prédios de apartamentos

Um pesquisador de segurança diz que a senha padrão enviada em um sistema de controle de acesso a portas amplamente utilizado permite que qualquer pessoa acesse facilmente e remotamente fechaduras de portas e controles de elevadores em dezenas de edifícios nos EUA e Canadá.

Hirsch, a empresa que agora é dona do sistema de acesso de porta Enterphone MESH, não corrige a vulnerabilidade, dizendo que o bug é intencional e que os clientes deveriam ter seguido as instruções de configuração da empresa e alterado a senha padrão.

Isso deixa dezenas de prédios residenciais e comerciais expostos na América do Norte que ainda não mudaram a senha padrão do sistema de controle de acesso ou não sabem que deveriam fazer isso, de acordo com Eric Daigle , que encontrou as dezenas de prédios expostos.

Senhas padrão não são incomuns nem necessariamente um segredo em dispositivos conectados à internet; senhas enviadas com produtos são normalmente projetadas para simplificar o acesso de login para o cliente e são frequentemente encontradas em seu manual de instruções. Mas confiar em um cliente para alterar uma senha padrão para evitar qualquer acesso malicioso futuro ainda classifica como uma vulnerabilidade de segurança dentro do próprio produto.

No caso dos produtos de entrada de porta da Hirsch, os clientes que instalam o sistema não são solicitados ou obrigados a alterar a senha padrão.

Dessa forma, Daigle foi creditado pela descoberta do bug de segurança, formalmente designado como CVE-2025-26793 .

As senhas padrão têm sido um problema para dispositivos conectados à internet há muito tempo, permitindo que hackers mal-intencionados usem as senhas para fazer login como se fossem os donos legítimos e roubar dados, ou sequestrar os dispositivos para aproveitar sua largura de banda para lançar ataques cibernéticos. Nos últimos anos, os governos têm tentado afastar os fabricantes de tecnologia do uso de senhas padrão inseguras, dados os riscos de segurança que elas apresentam.

No caso do sistema de entrada de porta de Hirsch, o bug é classificado como 10 de 10 na escala de gravidade de vulnerabilidade, graças à facilidade com que qualquer um pode explorá-lo. Falando de forma prática, explorar o bug é tão simples quanto pegar a senha padrão do guia de instalação do sistema no site de Hirsch e conectar a senha na página de login voltada para a internet em qualquer sistema de edifício afetado.

Em uma postagem de blog , Daigle disse que encontrou a vulnerabilidade no ano passado após descobrir um dos painéis de entrada de porta Enterphone MESH feitos por Hirsch em um prédio em sua cidade natal, Vancouver. Daigle usou o site de varredura da internet ZoomEye para procurar sistemas Enterphone MESH que estavam conectados à internet e encontrou 71 sistemas que ainda dependiam das credenciais padrão enviadas.

Daigle disse que a senha padrão permite acesso ao sistema de backend baseado na web do MESH, que os gerentes de prédios usam para gerenciar o acesso a elevadores, áreas comuns e fechaduras de portas de escritórios e residenciais. Cada sistema exibe o endereço físico do prédio com o sistema MESH instalado, permitindo que qualquer pessoa que faça login saiba a qual prédio teve acesso.

Daigle disse que foi possível invadir qualquer um dos dezenas de edifícios afetados em minutos sem atrair atenção.

O TechCrunch interveio porque Hirsch não tem meios, como uma página de divulgação de vulnerabilidades, para que membros do público como Daigle relatem uma falha de segurança à empresa.

O CEO da Hirsch, Mark Allen, não respondeu ao pedido de comentário do TechCrunch, mas, em vez disso, adiou para um gerente sênior de produtos da Hirsch, que disse ao TechCrunch que o uso de senhas padrão pela empresa está "desatualizado" (sem dizer como). O gerente de produtos disse que era "igualmente preocupante" que haja clientes que "instalaram sistemas e não estão seguindo as recomendações dos fabricantes", referindo-se às próprias instruções de instalação de Hirsch.

Hirsch não se comprometeu a revelar publicamente detalhes sobre o bug, mas disse que entrou em contato com seus clientes sobre seguir o manual de instruções do produto.

Com Hirsch relutante em consertar o bug, alguns edifícios — e seus ocupantes — provavelmente permanecerão expostos. O bug mostra que as escolhas de desenvolvimento de produtos do passado podem voltar a ter implicações no mundo real anos depois.