Nespočetné množstvo zariadení, ako sú smerovače, vykurovacie systémy, tlačiarne, telefónne systémy a iné kancelárske stroje, má teraz sieťové funkcie. Ale aj verejne viditeľné systémy ako bezpečnostné kamery, autoumyvárne či dokonca semafory. Táto okolnosť sa berie do úvahy Vyhľadávač Shodan používať a zobrazovať obrovské množstvo zariadení s internetovým pripojením a len veľmi málo z nich je zabezpečených. Prístup k takýmto zariadeniam je pre bežného používateľa internetu takmer nemožný, no pre odborníka je smiešne jednoduchý. Zariadenia, ako sú najmä sieťové tlačiarne, sú často vynechané z bezpečnostných opatrení. Výsledok: Nezabezpečená tlačiareň so štandardnými prístupovými údajmi môže byť ľahko napadnutá a prevzatá cez internetové pripojenie.
Shodan-Nutzer haben bereits Kontrollsysteme für einen Wasserpark, eine Tankstelle, einen Weinkühler in einem Hotel und ein Krematorium gefunden. Sicherheitsexperten ist es sogar gelungen ein Kommando- und Kontrollsystem für ein Atomkraftwerk sowie einen Zyklotron Teilchenbeschleuniger zu lokalisieren. Viele dieser Systeme waren überhaupt nicht oder nur ungenügend geschützt. Jeden Monat fügt Shodan rund 500 Millionen neue Geräte zu ihrer Datenbank hinzu. Eine kurze Suche nach «Default Password» zeigt Unmengen an Routern, Druckern und Servern mit Standardlogins und «1234» als Passwort. Viele benötigen nicht einmal Zugangsdaten und alles was man zum Zugriff braucht, ist ein Webbrowser.
Počas minuloročnej konferencie o kybernetickej bezpečnosti Defcon predviedol bezpečnostný tester Dan Tentler, ako ľahko sa dá Shodan použiť na vyhľadávanie ovládateľných zariadení. V Dánsku našiel autoumyváreň, ktorá sa dala zapnúť a vypnúť, a hokejové klzisko, ktoré bolo možné odmraziť stlačením tlačidla. Systém riadenia dopravy v celom meste by sa dal uviesť do testovacieho režimu cez internet. Dokonca narazil na riadiaci systém pre vodnú elektráreň vo Francúzsku. Mnohé z týchto zariadení ani nemusia byť pripojené k internetu. Mnoho spoločností nakupuje kompletné riadiace riešenia, ktoré im poskytujú čo najväčšiu kontrolu. Aby bolo napríklad možné ovládať vykurovací systém cez počítač, nie je vykurovací systém pripojený priamo k riadiacemu počítaču, ale priamo k webovému serveru. Ovládanie vykurovania je teraz prístupné cez internet. Sotva tu niekto myslí na bezpečnosť.
Samotný Shodan sa používa najmä na právne účely. Vyhľadávanie je obmedzené na desať zásahov bez účtu a neumožňuje žiadnu personalizáciu. Dokonca aj s bezplatným používateľským účtom je Shodan stále obmedzený na niekoľko stránok a nezobrazuje všetky záznamy. Ak chcete vidieť všetko, musíte predložiť viac osobných údajov, motivačný list a poplatok. Hlavnými používateľmi Shodan sú testeri bezpečnosti, výskumníci a orgány činné v trestnom konaní. Kyberzločinci majú navyše zvyčajne prístup k botnetom, ktoré im poskytujú rovnaké informácie s menším rizikom. S Shodanom sa bezpečnostní experti snažia informovať dotknutých operátorov a vzdelávať ich o zraniteľnostiach v systéme. Napriek tomu sú desiatky tisíc zariadení, od tlačiarní až po elektrárne, stále zraniteľné voči útokom cez internet.