Обещанные безопасные маршрутизаторы премиум-класса Ubiquiti; Потом они были взломаны
Ключевые выводы
- Ubiquiti продает высококачественные потребительские беспроводные маршрутизаторы и требует от новых клиентов создания учетной записи в Интернете при настройке оборудования.
- Компания была взломана в результате того, что изначально было названо незначительным нарушением безопасности, но которое, по мнению экспертов, гораздо хуже, чем незначительное.
- Эксперты говорят, что любое оборудование, для которого требуется онлайн-учетная запись, может поставить под угрозу ваши данные и вашу конфиденциальность.
Ubiquiti, производитель многофункционального сетевого оборудования, стала последней жертвой нарушения безопасности, которое подвергает риску данные клиентов.
Ubiquiti - одна из нескольких компаний, которые просят (или заставляют) клиентов создавать учетную запись при установке нового оборудования. Другие новые маршрутизаторы, такие как Amazon’s Eero а также Google Nest Wifi сделайте облачные аккаунты центральным элементом работы и не сможете использовать без подключения.
Их популярность побудила более традиционные компании-производители маршрутизаторов, такие как Netgear и Linksys, последовать их примеру, предложив собственные варианты размещения в облаке или приложениях, хотя в большинстве случаев они не являются обязательными. случаи.
«Нарушение только означает, что их данные теперь находятся в руках другой стороны, кроме продавца», - сказал Донг Нго, редактор Донг знает технологии и бывший обозреватель маршрутизаторов для CNET, говорится в прямом сообщении на LinkedIn.
Ngo считает, что обязательные облачные учетные записи - это плохие новости для конфиденциальности и безопасности клиентов, и часто предупреждал своих читателей о проблемах с облачными интерфейсами.
Хотите доверять своему маршрутизатору? Избавьтесь от облака
Взлом серверов Ubiquiti является проблемой для клиентов, поскольку многие продукты компании требуют создания облачной учетной записи. Одним из примеров является Dream Machine, профессиональный маршрутизатор, выпущенный компанией в 2019 году.
Шамсудин Адедокун / Unsplash
Нго считает отрицательным, если маршрутизатор, который он проверяет, не позволяет использовать альтернативу с локальным управлением. Он предупреждает, что сетевое оборудование, полагающееся на обязательную облачную учетную запись, оставляет владельцев без выбор, кроме как доверять конфиденциальность и безопасность третьей стороне и ограничивать возможности пользователя в случае нарушения происходит.
Что же тогда делать владельцу, заботящемуся о безопасности? «Придерживайтесь локального веб-интерфейса, - сказал Нго. «Избегайте использования мобильного приложения».
Лучший вариант - это не премиальный маршрутизатор, обещающий надежный облачный интерфейс, а вместо этого простой и недорогой маршрутизатор с локальным интерфейсом, доступным через веб-браузер.
Опасения фанатов UniFi подтвердились
Взлом облачного сервера Ubiquiti сильно ударил по фанатам, когда компания потребовала, чтобы владельцы большинства устройств регистрировали учетную запись Ubiquiti во время установки. Требуется доступ к платформе UniFi компании, которая контролирует маршрутизаторы компании и другие сетевые продукты.
Последнее заявление Ubiquiti, написанное в ответ на новые обвинения в отчете, опубликованном журналистом по вопросам безопасности Брайаном Кребсом, было опубликовано на форуме сообщества 31 марта.
В заявлении повторяется, что эксперты по реагированию на инциденты «не выявили доказательств того, что информация о клиентах была доступна, или даже "Ubiquiti продолжает работать с правоохранительными органами над установлением злоумышленника и утверждает, что" хорошо разработала свидетельство."
Повсеместность
Это только усилило шум на форуме сообщества компании, который служит основным каналом общения с клиентами.
Хотя компания заявляет, что нет никаких доказательств того, что данные клиентов были атакованы или взломаны, Ubiquiti не опровергнуть новые утверждения о том, что компания не вела надлежащие журналы доступа к учетным записям клиентов в своем облаке услуга.
Публикация клиента под названием Sonar сделал их разочарование ясно, сказав: «Это лишняя соль в ране, которую Ubiquiti пытается навязать доступ к облаку беднякам [используя продукты UniFi]».
Другие присоединились к ним, угрожая бойкотировать будущее оборудование Ubiquiti, если требование облачной учетной записи не будет снято в будущих обновлениях прошивки.
Сообщение сообщества, в котором обсуждается отчет Кребса, получило более 430 комментариев клиентов и 17 000 просмотров. Другой пост просить Ubiquiti сделать локальные учетные записи доступными получил 250 комментариев и более 12 000 просмотров.
Неясно, что сделает Ubiquiti, чтобы вернуть доверие фанатов. Компания не ответила на запрос Lifewire о комментарии и не предложила ответа клиентам в обсуждениях сообщества, в которых обсуждается нарушение.
«Нарушение означает лишь то, что их данные теперь находятся в руках другой стороны, кроме продавца».
Молчание Убиквити, кажется, подтверждает совет Нго. Маршрутизатор с локальным управлением, безусловно, может иметь уязвимости, но у владельцев по крайней мере есть варианты.
Клиенты Ubiquiti сталкиваются с более сложным выбором: продолжать доверять компании и надеяться, что проблема не так серьезна, как предполагалось, или полностью прекратить использование ее продуктов.
Тот же выбор ждет клиентов других маршрутизаторов, которые полагаются на облачные учетные записи. Их простота и удобство могут показаться заманчивыми, но варианты, с которыми сталкиваются пользователи, совсем не просты, когда подключенная облачная служба взломана.