Het Nationale waarschuwingssysteem waarmee de Amerikaanse autoriteiten burgers kunnen waarschuwen in het geval van ernstige rampen was voor iedereen toegankelijk wegens een blunder met een firmware-update. De update, die voor iedereen was te downloaden, bevatte de root SSH-sleutel, waardoor kwaadwillenden toegang tot het systeem konden krijgen.

Hierdoor was het mogelijk om bijvoorbeeld valse waarschuwingen te verspreiden. Het Emergency Alert System (EAS) is gemaakt voor grote rampen, waarbij de president binnen 10 minuten na een ramp via de radio en televisie de bevolking kan toespreken, hoewel dit nog nooit is gebeurd.

Zombies
Begin februari van dit jaar wisten hackers toegang tot het EAS in Great Falls, Montana en Marquette en Michigan te krijgen en waarschuwden dat zombies uit hun graf waren opgestaan. Nu blijkt dat de toegangsdeur tot de servers waarmee de berichten worden verstuurd wagenwijd openstond.

Het Industrial Control Systems Cyber Emergency Response Team (ICS-CERT), dat onderdeel van de Amerikaanse overheid is, waarschuwde eind juni voor kwetsbaarheden in de Digital Alert Systems DASDEC-I en DASDEC-II en Monroe Electronics R189 One-Net/R189SE One-NetSE.

Dit zijn Linux-gebaseerde EAS encoder/decoder (ENDEC) apparaten waarmee de EAS-waarschuwingen over zowel digitale als analoge kanalen worden verstuurd. Beveiligingsbedrijf IOActive trof verschillende problemen in de apparaten aan.

SSH-sleutel
Het grootste lek betrof de aanwezigheid van de root SSH-sleutel, waarmee aanvallers toegang tot het apparaat konden krijgen. Deze root SSH-sleutel was in publiek toegankelijk firmware-updates aanwezig en werd daar door IOActive ook ontdekt. De overige, minder ernstige problemen maakten het volgens ICS-CERT ook mogelijk om een kwetsbaar apparaat te compromitteren.

Beheerders van de EAS-apparatuur krijgen het advies om een firmware-update te installeren die eind april uitkwam en de kwetsbare SSH-sleutel uitschakelt. Daarnaast stelt de update ook een nieuw wachtwoordbeleid in.