В свете данных событий, декан института SANS Йоханнес Б. Ульрих (Johannes B. Ullrich) решил провести эксперимент . Он намеренно подключил к Сети незащищенный видеорегистратор и в течение двух дней записывал все попытки входа в систему.
По его словам, устройство использовало одно из опубликованных в списке сочетаний логина и пароля. В общей сложности было зафиксированно 1254 попытки входа с разных IP-адресов в течение 45 часов. Другими словами, попытка авторизации совершалась каждые 2 минуты с использованием скомпрометированных учетных данных.
Позднее Ульрих с помощью поисковика Shodan получил информацию о 592 атакующих устройствах и обнаружил, что в основном атаки проводились устройствами от производителей TP-Link, AvTech, Synology и D-Link. Он также отметил схожесть действий атакующих с поведением ботнета Mirai. В прошлом году Ульрих проводил аналогичный эксперимент, в ходе которого видеорегистратор подвергался нападениям каждую минуту.