Ubiquiti Promised Premium, безпечні маршрутизатори; Потім їх зламали
Ключові речі на винос
- Ubiquiti продає високоякісні споживчі бездротові маршрутизатори і вимагає від нових клієнтів створення облікового запису в Інтернеті під час налаштування обладнання.
- Компанію зламали через те, що вона спочатку назвала незначним порушенням безпеки, але, за словами експертів, це набагато гірше, ніж незначне.
- Експерти кажуть, що будь-яке обладнання, для якого потрібен обліковий запис в Інтернеті, може поставити під загрозу ваші дані та вашу конфіденційність.
Ubiquiti, виробник багатофункціонального мережевого обладнання, є останньою жертвою порушення безпеки, яке ставить під загрозу дані клієнтів.
Ubiquiti — одна з кількох компаній, які просять (або змушують) клієнтів створити обліковий запис під час налаштування нового обладнання. Інші нові маршрутизатори, як Eero від Amazon і Google Nest Wifi Зробіть хмарні облікові записи центральними для роботи, і їх не можна використовувати без підключення.
Їхня популярність спонукала більш традиційні компанії-маршрутизатори, такі як Netgear і Linksys, до цього наслідуйте їх власними параметрами, розміщеними в хмарі або на основі програм, хоча вони все ще є необов’язковими для більшості випадків.
«Порушення означає лише те, що їхні дані зараз знаходяться в руках іншої сторони, крім постачальника», — Донг Нго, редактор Донг знає техніку і колишній рецензент маршрутизаторів для CNET, сказав у прямому повідомленні на LinkedIn.
Ngo вважає, що обов’язкові хмарні облікові записи є поганою новиною для конфіденційності та безпеки клієнтів часто застерігав своїх читачів про проблеми з хмарними інтерфейсами.
Хочете довіряти своєму маршрутизатору? Викинь Хмару
Злом серверів Ubiquiti є проблемою для клієнтів, оскільки багато продуктів компанії вимагають створення хмарного облікового запису. Одним із прикладів є Dream Machine, звичайний маршрутизатор, який компанія випустила в 2019 році.
Шамсудін Адедокун / Unsplash
Нго вважає негативним, якщо маршрутизатор, який він оглядає, не дозволяє використовувати локально контрольовану альтернативу. Він попереджає, що мережеве обладнання, яке покладається на обов’язковий хмарний обліковий запис, не залишає власників нічого Крім того, щоб довірити конфіденційність і безпеку третій стороні, і обмежує можливості користувача в разі порушення відбувається.
Що ж тоді робити власнику, який піклується про безпеку? «Дотримуйтесь локального веб-інтерфейсу», — сказав Нго. «Уникайте використання мобільного додатка».
Найкращим варіантом є не роутер преміум-класу, який обіцяє надійний хмарний інтерфейс, а простий недорогий маршрутизатор з локальним інтерфейсом, доступним через веб-браузер.
Фанати UniFi підтвердили свої побоювання
Порушення роботи хмарного сервера Ubiquiti вразило шанувальників, коли компанія вимагала, щоб власники більшості пристроїв зареєстрували обліковий запис Ubiquiti під час налаштування. Це потрібно для доступу до платформи UniFi компанії, яка контролює маршрутизатори компанії та інші мережеві продукти.
Остання заява Ubiquiti, написана у відповідь на нові звинувачення у звіті, опублікованому журналістом із безпеки Брайаном Кребсом, був опубліковано на форумі спільноти 31 березня.
У заяві повторюється, що експерти з реагування на інцидент «не виявили жодних доказів доступу до інформації клієнта або навіть Ubiquiti продовжує співпрацювати з правоохоронними органами над встановленням особи зловмисника та стверджує, що має "добре розроблені докази».
Повсюдність
Це лише підігріло галас на форумі спільноти компанії, який є її основною лінією спілкування з клієнтами.
Хоча компанія заявляє, що немає доказів того, що дані клієнтів були націлені або зламані, Ubiquiti цього не зробив. спростувати нові звинувачення в тому, що йому не вдалося вести належні журнали доступу до облікових записів клієнтів у своїй хмарі обслуговування.
Публікація клієнта під назвою Sonar made їхнє розчарування зрозуміло, кажучи: «Убікіті намагається примусити доступ до хмари до горла бідних людей [використовуючи продукти UniFi] — це додаткова сіль на рану».
Інші приєдналися, погрожуючи бойкотувати майбутнє обладнання Ubiquiti, якщо вимога до хмарного облікового запису не буде знята в майбутніх оновленнях мікропрограми.
Пост спільноти, де обговорюється звіт Кребса, отримав понад 430 коментарів клієнтів і 17 000 переглядів. Ще один пост просити Ubiquiti зробити доступними локальні облікові записи отримав 250 коментарів і понад 12 000 переглядів.
Неясно, що зробить Ubiquiti, щоб повернути довіру шанувальників. Компанія не відповіла на запит Lifewire щодо коментарів і не запропонувала жодної відповіді клієнтам у темах спільноти, які обговорювали порушення.
«Порушення означає лише те, що їхні дані зараз знаходяться в руках іншої сторони, крім постачальника».
Здається, мовчання Убікіті підтверджує пораду Нго. Локально керований маршрутизатор, безумовно, може мати вразливості, але власники принаймні мають варіанти.
Клієнти Ubiquiti стоять перед складнішим вибором: продовжувати довіряти компанії і сподіватися, що проблема не настільки серйозна, як стверджується, або повністю припинити використання її продуктів.
Такий же вибір чекає клієнтів інших маршрутизаторів, які покладаються на хмарні облікові записи. Їхня простота та зручність можуть здатися привабливими, але можливості, з якими стикаються користувачі, зовсім не прості, коли підключений хмарний сервіс зламано.