Ubiquiti Promised Premium, защитени рутери; Тогава те бяха хакнати
Ключови изводи
- Ubiquiti продава потребителски безжични рутери от висок клас и изисква новите клиенти да създадат онлайн акаунт при настройка на хардуера.
- Компанията беше хакната при това, което първоначално нарече лек пробив в сигурността, но който според експертите е много по-лош от незначителен.
- Експертите казват, че всеки хардуер, който изисква онлайн акаунт, може да изложи на риск вашите данни и поверителността ви.
Ubiquiti, производител на богат на функции мрежов хардуер, е последната жертва на пробив в сигурността, който излага клиентските данни на риск.
Ubiquiti е една от няколкото компании, които искат (или принуждават) клиентите да създадат акаунт, когато настройват нов хардуер. Други нови рутери като Eero на Amazon и Nest Wifi на Google направете базираните в облак акаунти в центъра на изживяването и не могат да се използват без връзка.
Тяхната популярност насърчи по-традиционните компании за рутери, като Netgear и Linksys, да последвайте примера си със собствените си хоствани в облак или базирани на приложения опции – въпреки че те все още са незадължителни в повечето случаи.
„Нарушението означава само, че техните данни вече са в ръцете на друга страна, различна от доставчика“, Донг Нго, редактор на Донг знае технологията и бивш рецензент на рутери за CNET, каза в директно съобщение в LinkedIn.
Ngo смята, че задължителните облачни акаунти са лоша новина за поверителността и сигурността на клиентите и често предупреждава своите читатели за проблемите с облачните интерфейси.
Искате ли да се доверите на вашия рутер? Изхвърлете облака
Нарушаването на сървърите на Ubiquiti е проблем за клиентите, тъй като много от продуктите на компанията изискват създаване на облачен акаунт. Един пример е Dream Machine, рутер за потребители, който компанията пусна през 2019 г.
Шамсудин Адедокун / Unsplash
Нго смята за отрицателно, ако рутерът, който преглежда, не позволява използването на локално контролирана алтернатива. Той предупреждава, че мрежовият хардуер, който разчита на задължителен облачен акаунт, оставя собствениците без избор освен да се доверите на поверителността и сигурността на трета страна и ограничава възможностите на потребителя в случай на нарушение възниква.
Какво тогава трябва да прави собственикът, който се грижи за сигурността? „Придържайте се към локалния уеб интерфейс“, каза Нго. „Избягвайте използването на мобилно приложение.“
Най-добрият вариант не е първокласен рутер, който обещава стабилен облачен интерфейс, а вместо това прост, евтин рутер с локален интерфейс, достъпен чрез уеб браузър.
Феновете на UniFi се потвърдиха
Нарушаването на облачния сървър на Ubiquiti удари болезнено място за феновете, когато компанията изискваше собствениците на повечето устройства да се регистрират за акаунт в Ubiquiti по време на настройката. Изисква се достъп до UniFi платформата на компанията, която контролира рутерите на компанията и други мрежови продукти.
Последното изявление на Ubiquiti, написано в отговор на нови твърдения в доклад, публикуван от журналиста по сигурността Брайън Кребс, беше публикувано във форума на общността на 31 март.
В изявлението се повтаря, че експертите по реакция на инциденти „не са идентифицирали никакви доказателства, че е имало достъп до информацията на клиента или дори насочен." Ubiquiti продължава да работи с правоприлагащите органи за идентифициране на нападателя и твърди, че е "добре разработена доказателства."
Вездесъщност
Това само подклажда шума във форума на общността на компанията, който служи като основна линия за комуникация с клиентите.
Въпреки че компанията казва, че няма доказателства, че клиентските данни са били насочени или нарушени, Ubiquiti не го направи опровергава новите твърдения, че не е успяла да поддържа правилни регистрационни файлове за достъп до клиентски акаунти в своя облак обслужване.
Публикуване на клиент под името Sonar made разочарованието им е ясно, казвайки: „Допълнителна сол в раната е, че Ubiquiti се опитва да принуди достъп до облак в гърлата на бедните хора [с помощта на UniFi продукти].“
Други се присъединиха, заплашвайки да бойкотират бъдещия хардуер на Ubiquiti, ако изискването за базиран в облак акаунт не отпадне в бъдещи актуализации на фърмуера.
Публикацията в общността, обсъждаща доклада на Кребс, получи над 430 коментара на клиенти и 17 000 гледания. Друг пост с молба Ubiquiti да направи достъпни локални акаунти получи 250 коментара и над 12 000 гледания.
Не е ясно какво ще направи Ubiquiti, за да си върне доверието на феновете. Компанията не отговори на искането на Lifewire за коментар и не е предложила отговор на клиентите в теми на общността, обсъждащи нарушението.
„Нарушението означава само, че техните данни вече са в ръцете на друга страна, различна от продавача.
Мълчанието от Ubiquiti изглежда потвърждава съвета на Нго. Локално контролиран рутер със сигурност може да има уязвимости, но собствениците поне имат опции.
Клиентите на Ubiquiti са изправени пред по-труден избор: да продължат да се доверяват на компанията и да се надяват, че проблемът не е толкова сериозен, колкото се твърди, или да спрат да използват изцяло нейните продукти.
Същият избор очаква клиентите на други рутери, които разчитат на облачни акаунти. Тяхната простота и удобство може да изглеждат примамливи, но опциите, пред които са изправени потребителите, са всичко друго, но не и прости, когато прикачената облачна услуга е нарушена.