„Ubiquiti Promised Premium“, saugūs maršrutizatoriai; Tada jie buvo nulaužti
Key Takeaways
- „Ubiquiti“ parduoda aukščiausios klasės vartotojų belaidžius maršrutizatorius ir reikalauja, kad nauji klientai, nustatydami aparatinę įrangą, susikurtų internetinę paskyrą.
- Į įmonę buvo įsilaužta dėl to, ką ji iš pradžių vadino nedideliu saugumo pažeidimu, tačiau ekspertų teigimu, tai daug blogiau nei smulkmena.
- Ekspertai teigia, kad bet kokia aparatinė įranga, kuriai reikalinga internetinė paskyra, gali kelti pavojų jūsų duomenims ir privatumui.
„Ubiquiti“, daug funkcijų turinčios tinklo aparatinės įrangos gamintojas, yra naujausia saugumo pažeidimo, dėl kurio kyla pavojus klientų duomenims, auka.
„Ubiquiti“ yra viena iš kelių įmonių, kurios prašo (arba verčia) klientų susikurti paskyrą, kai nustato naują aparatinę įrangą. Kiti nauji maršrutizatoriai, pvz „Amazon“ Eero ir „Google“ „Nest Wifi“. debesies pagrindu veikiančias paskyras paverskite svarbiausiomis funkcijomis ir jų negalima naudoti be ryšio.
Jų populiarumas paskatino tradicines maršrutizatorių įmones, tokias kaip Netgear ir Linksys sekite pavyzdžiu naudodami debesies prieglobos ar programėlių parinktis, nors daugeliu atvejų jos vis tiek neprivalomos atvejų.
„Pažeidimas reiškia tik tai, kad jų duomenys dabar yra kitos šalies, o ne pardavėjo, rankose“, – „Dong Ngo“, žurnalo redaktorius. Dong Knows Tech ir buvęs CNET maršrutizatoriaus apžvalgininkas, sakė tiesioginiame pranešime „LinkedIn“.
Ngo mano, kad privalomos debesies paskyros yra blogos naujienos klientų privatumui ir saugumui dažnai perspėjo savo skaitytojus apie debesų sąsajų problemas.
Norite pasitikėti savo maršrutizatoriumi? Išmesk debesį
„Ubiquiti“ serverių pažeidimas yra klientų problema, nes daugeliui bendrovės produktų reikia sukurti debesyje pagrįstą paskyrą. Vienas iš pavyzdžių yra „Dream Machine“, vartotojui skirtas maršrutizatorius, kurį bendrovė išleido 2019 m.
Shamsudeen Adedokun / Unsplash
Ngo mano, kad tai neigiama, jei jo peržiūrėtas maršrutizatorius neleidžia naudoti vietoje valdomos alternatyvos. Jis įspėja, kad tinklo aparatinė įranga, pasikliaujanti privaloma debesies paskyra, savininkams nepalieka nieko pasirinkimas, bet patikėti privatumą ir saugumą trečiajai šaliai ir apriboti vartotojo galimybes pažeidimo atveju atsiranda.
Ką tuomet daryti saugumu besirūpinantis savininkas? „Laikykite vietinę žiniatinklio sąsają“, - sakė Ngo. „Venkite naudotis mobiliąja programėle“.
Geriausias pasirinkimas yra ne aukščiausios kokybės maršrutizatorius, žadantis tvirtą debesies sąsają, o paprastas, nebrangus maršrutizatorius su vietine sąsaja, pasiekiama per žiniatinklio naršyklę.
„UniFi“ gerbėjų baimės pasitvirtino
„Ubiquiti“ debesies pagrindu veikiančio serverio pažeidimas sukėlė skaudžią vietą gerbėjams, kai bendrovė pareikalavo, kad daugumos įrenginių savininkai sąrankos metu prisiregistruotų gauti „Ubiquiti“ paskyrą. Tai reikalinga norint pasiekti įmonės UniFi platformą, kuri valdo įmonės maršrutizatorius ir kitus tinklo produktus.
Naujausias Ubiquiti pareiškimas, parašytas kaip atsakas į naujus kaltinimus saugumo žurnalisto Briano Krebso paskelbtame pranešime, buvo paskelbtas savo bendruomenės forume kovo 31 d.
Pareiškime pakartojama, kad reagavimo į incidentus ekspertai „nenustatė jokių įrodymų, kad buvo gauta informacija apie klientus ar net nebuvo gauta Ubiquiti toliau bendradarbiauja su teisėsauga, siekdamas nustatyti užpuoliko tapatybę ir teigia, kad jis „gerai išvystytas įrodymai."
Visur
Tai tik pakurstė šurmulį bendrovės bendruomenės forume, kuris yra pagrindinė jos bendravimo su klientais linija.
Nors bendrovė teigia, kad nėra įrodymų, kad klientų duomenys buvo nukreipti arba pažeisti, Ubiquiti to nepadarė. paneigti naujus kaltinimus, kad ji nesugebėjo tvarkyti tinkamų prieigos prie klientų paskyrų žurnalų savo debesyje paslauga.
Kliento paskelbimas pavadinimu Sonar padarė Jų nusivylimas aiškus, sakydamas: „Tai yra papildoma druska žaizdoje, dėl kurios Ubiquiti bandė priversti debesis patekti į vargšų žmonių gerkles [naudodamas UniFi produktus].
Kiti prisijungė, grasindami boikotuoti būsimą „Ubiquiti“ aparatinę įrangą, jei būsimuose programinės aparatinės įrangos atnaujinimuose nebus panaikintas debesyje pagrįstos paskyros reikalavimas.
Bendruomenės įrašas, kuriame aptariamas Krebso pranešimas, sulaukė daugiau nei 430 klientų komentarų ir 17 000 peržiūrų. Kitas įrašas prašydamas, kad „Ubiquiti“ sudarytų vietines paskyras sulaukė 250 komentarų ir daugiau nei 12 000 peržiūrų.
Neaišku, ką „Ubiquiti“ darys, kad atgautų gerbėjų pasitikėjimą. Bendrovė neatsakė į „Lifewire“ prašymą pakomentuoti ir nepateikė jokio atsakymo klientams bendruomenės gijose, kuriose aptariamas pažeidimas.
„Pažeidimas reiškia tik tai, kad jų duomenys dabar yra kitos šalies, o ne pardavėjo, rankose.
Atrodo, kad Ubiquiti tyla patvirtina Ngo patarimą. Vietiniu būdu valdomas maršrutizatorius tikrai gali turėti pažeidžiamumų, tačiau savininkai bent jau turi galimybių.
„Ubiquiti“ klientai susiduria su sunkesniu pasirinkimu: toliau pasitikėti įmone ir tikėtis, kad problema nėra tokia rimta, kaip teigiama, arba visiškai nustoti naudoti jos produktus.
Tas pats pasirinkimas laukia ir kitų maršruto parinktuvų klientų, kurie priklauso nuo debesies paskyrų. Jų paprastumas ir patogumas gali atrodyti viliojantis, tačiau pažeidžiant prijungtą debesies paslaugą naudotojai gali rinktis tik paprastus.