Ubiquiti Promised Premium, bezpieczne routery; Potem zostali zhakowani
Kluczowe dania na wynos
- Ubiquiti sprzedaje wysokiej klasy konsumenckie routery bezprzewodowe i wymaga od nowych klientów utworzenia konta online podczas konfigurowania sprzętu.
- Firma została zhakowana w wyniku tego, co początkowo nazwano drobnym naruszeniem bezpieczeństwa, ale które zdaniem ekspertów jest znacznie gorsze niż drobne.
- Eksperci twierdzą, że każdy sprzęt, który wymaga konta online, może narazić Twoje dane i prywatność na ryzyko.
Ubiquiti, producent bogatego w funkcje sprzętu sieciowego, jest najnowszą ofiarą naruszenia bezpieczeństwa, które naraża dane klientów na ryzyko.
Ubiquiti jest jedną z kilku firm, które proszą (lub zmuszają) klientów do utworzenia konta podczas konfigurowania nowego sprzętu. Inne nowe routery, takie jak Eero. Amazona oraz Gniazdo Wi-Fi firmy Google sprawiają, że konta w chmurze są centralne dla środowiska i nie mogą być używane bez połączenia.
Ich popularność zachęciła więcej tradycyjnych producentów routerów, takich jak Netgear i Linksys, do: podążaj za ich przykładem, korzystając z własnych opcji hostowanych w chmurze lub opartych na aplikacjach — choć w większości nadal są one opcjonalne sprawy.
„Naruszenie oznacza tylko, że ich dane znajdują się teraz w rękach innej strony, innej niż sprzedawca”, Dong Ngo, redaktor Dong zna technologię i były recenzent routerów dla CNET, powiedział w bezpośredniej wiadomości na LinkedIn.
Ngo uważa, że obowiązkowe konta w chmurze to zła wiadomość dla prywatności i bezpieczeństwa klientów, i często ostrzegał swoich czytelników o problemach z interfejsami w chmurze.
Chcesz zaufać swojemu routerowi? Rzuć chmurę
Naruszenie serwerów Ubiquiti jest problemem dla klientów, ponieważ wiele produktów firmy wymaga założenia konta w chmurze. Jednym z przykładów jest Dream Machine, router prosumencki, który firma wypuściła w 2019 roku.
Shamsudeen Adedokun / Unsplash
Ngo uważa to za negatywne, jeśli router, który ocenia, nie pozwala na użycie lokalnie kontrolowanej alternatywy. Ostrzega, że sprzęt sieciowy opierający się na obowiązkowym koncie w chmurze nie pozostawia właścicielom wyboru, ale zaufać prywatności i bezpieczeństwu stronie trzeciej i ograniczyć możliwości użytkownika w przypadku naruszenia występuje.
Co zatem powinien zrobić właściciel dbający o bezpieczeństwo? „Trzymaj się lokalnego interfejsu internetowego” — powiedział Ngo. „Unikaj korzystania z aplikacji mobilnej”.
Najlepszą opcją nie jest router premium obiecujący solidny interfejs chmury, ale prosty, niedrogi router z lokalnym interfejsem dostępnym przez przeglądarkę internetową.
Fani UniFi mają potwierdzone obawy
Naruszenie serwera opartego na chmurze Ubiquiti uderzyło w bolesny punkt dla fanów, gdy firma zażądała, aby właściciele większości urządzeń zarejestrowali konto Ubiquiti podczas konfiguracji. Wymagany jest dostęp do platformy UniFi firmy, która kontroluje routery firmy i inne produkty sieciowe.
Najnowsze oświadczenie Ubiquiti, napisane w odpowiedzi na nowe zarzuty w raporcie opublikowanym przez dziennikarza bezpieczeństwa Briana Krebsa, było opublikowano na swoim forum społeczności 31 marca.
W oświadczeniu powtarza się, że eksperci ds. reagowania na incydenty „nie zidentyfikowali dowodów na to, że uzyskano dostęp do informacji o kliencie, a nawet ukierunkowane". Ubiquiti nadal współpracuje z organami ścigania nad identyfikacją napastnika i twierdzi, że dowód."
Wszechobecność
To tylko podsyciło wrzawę na forum społeczności firmy, które służy jako główna linia komunikacji z klientami.
Chociaż firma twierdzi, że nie ma dowodów na to, że dane klientów były atakowane lub naruszane, Ubiquiti tego nie zrobił odrzucić nowe zarzuty, że nie prowadziła właściwych logów dostępu do kont klientów w swojej chmurze usługa.
Księgowanie klienta pod nazwą Sonar made ich rozczarowanie jest jasne, mówiąc: „To dodatkowa sól w ranie, że Ubiquiti próbuje wymusić dostęp do chmur w gardłach biednych ludzi [korzystających z produktów UniFi]”.
Inni dołączyli, grożąc bojkotem przyszłego sprzętu Ubiquiti, jeśli wymagania dotyczące konta w chmurze nie zostaną usunięte w przyszłych aktualizacjach oprogramowania układowego.
Wpis społeczności omawiający raport Krebsa otrzymał ponad 430 komentarzy klientów i 17 000 wyświetleń. Kolejny post prosząc Ubiquiti o udostępnienie kont lokalnych otrzymał 250 komentarzy i ponad 12 000 wyświetleń.
Nie jest jasne, co zrobi Ubiquiti, aby odzyskać zaufanie fanów. Firma nie odpowiedziała na prośbę Lifewire o komentarz i nie udzieliła odpowiedzi klientom w wątkach społecznościowych omawiających naruszenie.
„Naruszenie oznacza tylko, że ich dane są teraz w rękach innej strony, innej niż sprzedawca”.
Milczenie Ubiquiti zdaje się potwierdzać rady Ngo. Router sterowany lokalnie z pewnością może mieć luki, ale właściciele mają przynajmniej opcje.
Klienci Ubiquiti stają przed trudniejszym wyborem: nadal ufać firmie i mieć nadzieję, że problem nie jest tak poważny, jak przypuszczano, albo całkowicie zaprzestać korzystania z jej produktów.
Ten sam wybór czeka na klientów innych routerów, które opierają się na kontach w chmurze. Ich prostota i wygoda mogą wydawać się kuszące, ale opcje, przed którymi stają użytkownicy, nie są proste, gdy dołączona usługa w chmurze zostanie naruszona.