الموجهات الآمنة الموعودة من Ubiquiti ؛ ثم تم اختراقهم

Ubiquiti ، الشركة المصنعة لأجهزة الشبكات الغنية بالمميزات ، هي أحدث ضحية لخرق أمني يعرض بيانات العملاء للخطر.

Ubiquiti هي واحدة من عدة شركات تطلب (أو تجبر) العملاء على إنشاء حساب عند إعداد أجهزة جديدة. أجهزة التوجيه الجديدة الأخرى مثل Eero من أمازون و Nest Wifi من Google جعل الحسابات المستندة إلى السحابة مركزية للتجربة ولا يمكن استخدامها بدون اتصال.

شجعت شعبيتها المزيد من شركات التوجيه التقليدية ، مثل Netgear و Linksys ، على احذو حذوها بخياراتهم المستضافة على السحاب أو القائمة على التطبيق - على الرغم من أنها لا تزال اختيارية في معظم الأحيان حالات.

"يعني الخرق فقط أن بياناتهم أصبحت الآن في أيدي طرف آخر ، بخلاف البائع" ، دونغ نجو ، محرر دونغ يعرف التقنية ومراجع جهاز التوجيه السابق لـ CNET ، في رسالة مباشرة على LinkedIn.

تعتقد Ngo أن الحسابات الإلزامية المستندة إلى السحابة هي أخبار سيئة لخصوصية العملاء وأمانهم ، و كثيرا ما حذر قرائه حول مشاكل الواجهات المستندة إلى السحابة.

هل تريد الوثوق بجهاز التوجيه الخاص بك؟ تخلص من السحابة

يمثل اختراق خوادم Ubiquiti مشكلة للعملاء لأن العديد من منتجات الشركة تتطلب إنشاء حساب مستند إلى السحابة. أحد الأمثلة على ذلك هو جهاز Dream Machine ، وهو جهاز توجيه للمستهلكين أصدرته الشركة في عام 2019.

يعتبر Ngo الأمر سلبيًا إذا كان جهاز التوجيه الذي يراجعه لا يسمح باستخدام بديل يتم التحكم فيه محليًا. ويحذر من أن أجهزة الشبكة التي تعتمد على حساب إلزامي قائم على السحابة تترك أصحابها بلا خيار سوى الوثوق بالخصوصية والأمان لطرف ثالث وتقييد خيارات المستخدم في حالة حدوث خرق يحدث.

إذن ، ما الذي يجب أن يفعله المالك الواعي أمنيًا؟ قال نجو: "التزم بواجهة الويب المحلية". "تجنب استخدام تطبيقات الجوال."

الخيار الأفضل ليس جهاز توجيه متميز يعد بواجهة سحابية قوية ، ولكن بدلاً من ذلك ، جهاز توجيه بسيط وغير مكلف بواجهة محلية يتم الوصول إليها من خلال متصفح ويب.

أكد معجبو UniFi مخاوفهم

ضرب خرق خادم Ubiquiti القائم على السحابة نقطة مؤلمة للجماهير عندما طلبت الشركة من مالكي معظم الأجهزة التسجيل للحصول على حساب Ubiquiti أثناء الإعداد. يلزم الوصول إلى منصة UniFi الخاصة بالشركة ، والتي تتحكم في أجهزة التوجيه الخاصة بالشركة وغيرها من المنتجات المتصلة بالشبكة.

بيان Ubiquiti الأخير ، مكتوب ردًا على مزاعم جديدة في تقرير نشره الصحفي الأمني ​​بريان كريبس، كنت تم نشره في منتدى المجتمع الخاص به في 31 مارس.

يكرر البيان أن خبراء الاستجابة للحوادث "لم يحددوا أي دليل على أنه تم الوصول إلى معلومات العملاء ، أو حتى المستهدفة. "تواصل Ubiquiti العمل مع سلطات إنفاذ القانون لتحديد هوية المهاجم وتدعي أنه" متطور بشكل جيد دليل."

لم يؤد هذا إلا إلى إثارة الضجة في منتدى مجتمع الشركة ، والذي يعمل كخط اتصال رئيسي مع العملاء.

بينما تقول الشركة إنه لا يوجد دليل على أن بيانات العملاء قد تم استهدافها أو خرقها ، فإن Ubiquiti لم تفعل ذلك دحض الادعاءات الجديدة بأنها فشلت في الاحتفاظ بالسجلات المناسبة للوصول إلى حسابات العملاء على السحابة الخاصة بها الخدمات.

نشر أحد العملاء تحت اسم سونار خيبة أملهم واضحة ، قائلين ، "إنه ملح إضافي في الجرح الذي يحاول Ubiquiti إجبار الوصول إلى السحابة أسفل حناجر الناس الفقراء [باستخدام منتجات UniFi]."

انضم آخرون ، مهددين بمقاطعة أجهزة Ubiquiti المستقبلية إذا لم يتم إسقاط متطلبات الحساب المستند إلى السحابة في تحديثات البرامج الثابتة المستقبلية.

تلقى منشور المجتمع الذي يناقش تقرير كريبس أكثر من 430 تعليقًا من العملاء و 17000 مشاهدة. آخر وظيفة مطالبة Ubiquiti بتوفير حسابات محلية تلقى 250 تعليقًا وأكثر من 12000 مشاهدة.

ليس من الواضح ما الذي ستفعله Ubiquiti لاستعادة ثقة الجماهير. لم تستجب الشركة لطلب Lifewire للتعليق ولم تقدم أي رد للعملاء في سلاسل رسائل المجتمع التي تناقش الخرق.

يبدو أن الصمت من Ubiquiti يؤكد نصيحة Ngo. من المؤكد أن جهاز التوجيه الذي يتم التحكم فيه محليًا يحتوي على نقاط ضعف ، ولكن يمتلك المالكون على الأقل خيارات.

يواجه عملاء Ubiquiti خيارًا أكثر صرامة: الاستمرار في الوثوق بالشركة والأمل ألا تكون المشكلة خطيرة كما يُزعم ، أو التوقف عن استخدام منتجاتها بالكامل.

هذا الخيار نفسه ينتظر عملاء أجهزة التوجيه الأخرى التي تعتمد على الحسابات المستندة إلى السحابة. قد تبدو بساطتها وراحتها مغرية ، لكن الخيارات التي تواجه المستخدمين ليست بسيطة عند اختراق الخدمة السحابية المرفقة.