Utallige enheder såsom routere, varmesystemer, printere, telefonsystemer og andre kontormaskiner har nu netværksfunktioner. Men også offentligt synlige systemer såsom sikkerhedskameraer, vaskehaller eller endda trafiksignaler. Denne omstændighed gør Søgemaskine Shodan at bruge og viser et stort antal enheder forbundet til internettet, og kun få af dem er sikret. Adgang til sådanne enheder er næppe muligt for den gennemsnitlige internetbruger, men latterligt let for en ekspert. Især enheder som netværksprintere er ofte udeladt af sikkerhedsforanstaltningerne. Resultatet: En usikret printer med standardadgangsdata kan nemt hackes og overtages via en internetforbindelse.
Shodan-brugere har allerede fundet kontrolsystemer til et vandland, en tankstation, en vinkøler på et hotel og et krematorium. Sikkerhedseksperter har endda formået at lokalisere et kommando- og kontrolsystem til et atomkraftværk og en cyklotron-partikelaccelerator. Mange af disse systemer var slet ikke beskyttet eller kun utilstrækkeligt. Hver måned tilføjer Shodan omkring 500 millioner nye enheder til deres database. En hurtig søgning efter "Standardadgangskode" afslører tonsvis af routere, printere og servere med standardlogin og "1234" som adgangskode. Mange kræver ikke engang legitimationsoplysninger, og alt hvad du behøver for at få adgang er en webbrowser.
Under sidste års cybersikkerhedskonference Defcon demonstrerede sikkerhedstesteren Dan Tentler, hvor nemt Shodan kan bruges til at søge efter kontrollerbare enheder. Han fandt en vaskehal, der kunne tændes og slukkes, og en ishockeybane i Danmark, der kunne afises med et tryk på en knap. Trafikkontrolsystemet i en hel by kunne sættes i testtilstand via internettet. Han stødte endda på et styresystem til et vandkraftværk i Frankrig. Mange af disse enheder behøver slet ikke at være forbundet til internettet. Mange virksomheder køber komplette kontrolløsninger, der giver dem så meget kontrol som muligt. For at styre et varmelegeme via computer, er varmelegemet for eksempel ikke forbundet direkte til styrecomputeren, men direkte til en webserver. Varmestyringen kan allerede nås fra internettet. Næsten ingen tænker på sikkerhed her.
Shodan selv bruges hovedsageligt til juridiske formål. Søgningen er begrænset til ti hits uden en konto og tillader ingen personalisering. Selv med en gratis brugerkonto er Shodan stadig begrænset til et par sider og viser ikke alle poster. Hvis du vil se alt, skal du indsende flere personlige data, et motivationsbrev og et gebyr. De vigtigste brugere af Shodan er sikkerhedstestere, forskere og retshåndhævende myndigheder. Derudover har cyberkriminelle normalt adgang til botnets, der giver dem samme information, med færre risici. Sikkerhedseksperter forsøger at bruge Shodan til at informere berørte operatører og oplyse dem om de svage punkter i systemet. Ikke desto mindre kan titusindvis af enheder, fra printere til kraftværker, stadig angribes via internettet.