便利贴上的密码，让健身房变成了“80年代恐怖片现场“

欢迎回到"被黑了"专栏。在这里，我们分享来自IT从业者的亲身经历——他们自己踩过坑，或者亲眼目睹别人踩坑。本期故事告诉我们：即便是安装健身器材这样看似简单的工作，也绝对不能把安全凭证随意留在外面。

本周的故事主人公，我们姑且称他为JC，他经营一家销售和安装二手健身器材的公司。他曾与一家酒店签订合同，负责安装一批配备视频屏幕的有氧健身设备，让健身的客人可以通过局域网观看Netflix。

然而，JC的一名员工在其中一台跑步机上贴了一张便利贴，上面写着设备的默认管理员PIN码。结果，一位酒店住客发现了这张便利贴，登录了控制面板，开始播放80年代的音乐视频。我们不知道这位"捣蛋旅客"具体点播了哪些歌曲，但不难猜到，Olivia Newton-John的《Physical》很可能排在歌单第一位。

酒店前台员工听到健身房里传来奇怪的音乐声，一时以为健身房"闹鬼"了。后来才弄清楚，原来是有人把YouTube开着走人了，根本没有登录Netflix。所幸，这位"攻击者"并未造成实质性损害。但如果换成一个更有企图心的人控制了这些设备，后果就难以预料了——这些机器完全可能被用于发起命令与控制攻击。

对此，JC表示他将这次事件视为一次宝贵的教训。现在，他的团队会将所有终端设备隔离在访客VLAN中，修改默认密码，甚至会禁用健身设备上的USB接口。他们在设备老化测试阶段就完成补丁更新，还会锁定网络面板，防止任何人拔出网线、将自己的设备接入局域网。

Forrester Research副总裁兼研究总监Merritt Maxim表示，他还建议在防火墙层面限制出站访问，确保健身器材只能与Netflix之间收发数据。否则，一旦黑客控制了健身设备，造成的破坏将远不止于此。

上周我们讲过一台咖啡机如何成为企业网络的安全威胁入口。这次的情况与之如出一辙，两个故事共同说明了一件事：无论一台联网设备看起来多么"人畜无害"，做好安全防护都至关重要。

如果你也有过类似"网络被开了大口子"的故事，欢迎发送至 pwned@sitpub.com，我们可以为你保密。

Q&A

Q1：这次健身房安全事件是怎么发生的？

A：一家酒店的健身器材安装人员将设备默认管理员PIN码写在便利贴上，直接贴在跑步机上。一位住客发现后登录了控制面板，播放起80年代的音乐视频。这位住客并未造成实际损害，但如果是恶意攻击者，则可能利用这些设备发起命令与控制攻击。

Q2：健身房联网设备被入侵会有哪些风险？

A：联网健身设备一旦被恶意控制，不只是播放音乐视频这么简单。攻击者可以将其用于命令与控制攻击，渗透到更大范围的局域网，甚至借此攻击酒店内网中的其他系统。Forrester Research的专家建议在防火墙层面限制这类设备的出站访问，让其只能连接特定服务，从而降低风险。

Q3：安装健身器材后应该采取哪些安全措施？

A：根据这次事件的经验，安装方事后采取了多项改进措施：将所有终端隔离在访客VLAN中、修改设备默认密码、禁用USB接口、在老化测试阶段完成补丁更新，并锁定网络面板防止他人随意插拔网线。安全专家还建议在防火墙层面对这类设备的网络访问权限进行严格限制。