Anbieter eines DDoS-Dienstes, die ihren Service nun mit Cloud-Servern statt gehackten Routern, Servern und IoT-Devices betreiben, haben in einem Hackerforum Zugangsdaten und IP-Adressen von rund 515.000 Geräten veröffentlicht. Gefunden wurde die Zugänge, die ursprünglich zum Aufbau eines Botnet nötig waren, durch einen Scan des Internets nach unverschlüsselten Zugängen zum Fernwartungsdienst Telnet. Bei gefundenen Telnet-Zugängen wurden anschließend eine Reihe von Standardpasswörtern ausprobiert, die von großen Hardwareherstellern bei der Auslieferung genutzt werden.
Laut dem Beitrag im Hackerforum wurde die Liste im Oktober und November 2019 erstellt und ist damit relativ aktuell. Es ist daher zu erwarten, dass ein Teil der Geräte noch immer ohne großen Aufwand über das Internet von unbefugten Dritten missbraucht werden kann. Genutzt werden können die Information unter anderem zum Aufbau eines neuen Botnet, das zum Beispiel zum Versand von Spam oder für DDoS-Angriffe genutzt werden.
Außerdem können einige Geräte per Telnet mit einer Schadsoftware infiziert werden, die die Geräte unbrauchbar macht. Einige Hacker versuchen durch das gezielte „Ausschalten“ einfach angreifbarer Ziele zu verhindern, dass andere Hacker diese Geräte für ihre Zwecke verwenden. Bekannt ist ein Fall aus dem Juni 2019, bei dem die Schadsoftware Silex innerhalb weniger Stunden etwa 2.000 IoT-Geräte unbrauchbar machte, die mit Standardpasswörtern über das Internet erreichbar waren.
Der sogenannte Brickerbot (Brick = Block) soll sogar im Jahr 2017 über zwei Millionen Geräte in unbrauchbare „Blöcke“ verwandelt haben. Dies erfolgte durch das Überschreiben von Laufwerken und Partitionen mit Zufallsdaten, wenn der Login mit Standardzugangsdaten erfolgreich war. Im Falle von Silex wurden außerdem die Firewall-Regeln und die Netzwerkkonfiguration gelöscht und anschließend wurde das Geräte ausgeschaltet.
