Enrutadores seguros y premium prometidos por Ubiquiti; Luego fueron pirateados
Conclusiones clave
- Ubiquiti vende enrutadores inalámbricos de consumo de alta gama y requiere que los nuevos clientes creen una cuenta en línea al configurar el hardware.
- La compañía fue pirateada en lo que inicialmente llamó una brecha de seguridad menor, pero que según los expertos es mucho peor que menor.
- Los expertos dicen que cualquier hardware que requiera una cuenta en línea podría poner en riesgo sus datos y su privacidad.
Ubiquiti, un fabricante de hardware de red rico en funciones, es la última víctima de una violación de seguridad que pone en riesgo los datos de los clientes.
Ubiquiti es una de varias empresas que piden (o obligan) a los clientes a crear una cuenta al configurar un nuevo hardware. Otros nuevos enrutadores como Eero de Amazon y Nest Wifi de Google Haga que las cuentas basadas en la nube sean fundamentales para la experiencia y no se puedan usar sin una conexión.
Su popularidad ha animado a las empresas de enrutadores más tradicionales, como Netgear y Linksys, a siguen su ejemplo con sus propias opciones alojadas en la nube o basadas en aplicaciones, aunque siguen siendo opcionales en la mayoría de casos.
"La violación solo significa que sus datos ahora están en manos de otra parte, que no sea el proveedor", dijo Dong Ngo, editor de Dong conoce la tecnología y ex revisor de enrutadores de CNET, dijo en un mensaje directo en LinkedIn.
Ngo cree que las cuentas obligatorias basadas en la nube son malas noticias para la privacidad y seguridad del cliente, y ha advertido con frecuencia a sus lectores sobre los problemas con las interfaces basadas en la nube.
¿Quiere confiar en su enrutador? Deshazte de la nube
La violación de los servidores de Ubiquiti es un problema para los clientes porque muchos de los productos de la empresa requieren la creación de una cuenta basada en la nube. Un ejemplo es Dream Machine, un enrutador prosumidor que la compañía lanzó en 2019.
Shamsudeen Adedokun / Unsplash
Ngo considera negativo si un enrutador que revisa no permite el uso de una alternativa controlada localmente. Advierte que el hardware de red que depende de una cuenta obligatoria basada en la nube deja a los propietarios sin sino confiar en la privacidad y la seguridad a un tercero y limitar las opciones de un usuario si se produce una infracción ocurre.
Entonces, ¿qué debe hacer un propietario consciente de la seguridad? "Quédese con la interfaz web local", dijo Ngo. "Evite el uso de una aplicación móvil".
La mejor opción no es un enrutador premium que prometa una interfaz sólida en la nube, sino un enrutador simple y económico con una interfaz local a la que se accede a través de un navegador web.
Los fanáticos de UniFi tienen sus miedos confirmados
La violación del servidor basado en la nube de Ubiquiti golpeó un punto delicado para los fanáticos cuando la compañía requirió que los propietarios de la mayoría de los dispositivos se registren para obtener una cuenta de Ubiquiti durante la configuración. Es necesario para acceder a la plataforma UniFi de la empresa, que controla los enrutadores de la empresa y otros productos en red.
La última declaración de Ubiquiti, escrita en respuesta a nuevas acusaciones. en un informe publicado por el periodista de seguridad Brian Krebs, era publicado en el foro de su comunidad el 31 de marzo.
La declaración repite que los expertos en respuesta a incidentes "no identificaron evidencia de que se haya accedido a la información del cliente, o incluso "Ubiquiti continúa trabajando con las fuerzas del orden para identificar al atacante y afirma tener" bien desarrollado evidencia."
Ubicuidad
Esto solo alimentó el alboroto en el foro de la comunidad de la empresa, que sirve como su principal línea de comunicación con los clientes.
Si bien la compañía dice que no hay evidencia de que los datos de los clientes hayan sido atacados o violados, Ubiquiti no lo hizo. refutar nuevas acusaciones de que no pudo mantener registros adecuados de acceso a las cuentas de los clientes en su nube Servicio.
Una publicación de cliente bajo el nombre de Sonar made su decepción es clara, diciendo: "Es más sal en la herida que Ubiquiti ha estado tratando de forzar el acceso a la nube por las gargantas de la gente pobre [que usa productos UniFi]".
Otros se unieron, amenazando con boicotear el futuro hardware de Ubiquiti si el requisito de la cuenta basada en la nube no se elimina en futuras actualizaciones de firmware.
La publicación de la comunidad sobre el informe de Krebs ha recibido más de 430 comentarios de clientes y 17.000 visitas. Otro post pidiendo que Ubiquiti ponga cuentas locales disponibles ha recibido 250 comentarios y más de 12.000 visualizaciones.
No está claro qué hará Ubiquiti para recuperar la confianza de los fanáticos. La compañía no respondió a la solicitud de comentarios de Lifewire y no ha ofrecido respuesta a los clientes en los hilos de la comunidad que discuten la violación.
"La violación sólo significa que sus datos ahora están en manos de otra parte, que no sea el proveedor".
El silencio de Ubiquiti parece confirmar el consejo de Ngo. Un enrutador controlado localmente ciertamente puede tener vulnerabilidades, pero los propietarios al menos tienen opciones.
Los clientes de Ubiquiti se enfrentan a una elección más difícil: seguir confiando en la empresa y esperar que el problema no sea tan grave como se alega, o dejar de usar sus productos por completo.
Esta misma opción espera a los clientes de otros enrutadores que dependen de cuentas basadas en la nube. Su simplicidad y conveniencia pueden parecer atractivas, pero las opciones que enfrentan los usuarios son todo menos simples cuando se viola el servicio en la nube adjunto.