8 stycznia 2018, Wojciech Kulik

Dyski WD MyCloud miały olbrzymią lukę [AKT.]

Kategoria: Komputery Serwery Serwery plików NAS Bezpieczeństwo, Tematyka: Prywatność Western Digital, Producenci: Western Digital

Wcześniejsza wersja oprogramowania dysków WD MyCloud pozwalała w prosty sposób pozbawić użytkownika jego plików.

Często pojawiającym się argumentem dostawców usług chmurowych i producentów dysków sieciowych, mającym zachęcać do korzystania z takich rozwiązań jest ten, że zwiększają one komfort. Okazuje się jednak, że czasem odbywa się to kosztem bezpieczeństwa

Jak informuje The Register, firma Western Digital nie postarała się przy tworzeniu zabezpieczeń w swoich dyskach sieciowych WD MyCloud. Jeżeli tylko użytkownik jednego z nich nie zmienił nazwy domyślnej, jego pliki mogły być w prosty sposób na przykład skasowane.

Najgorsze, że taki dysk wcale nie musiał być podłączony do Internetu, wystarczyło że był aktywny w sieci lokalnej. Wówczas właściciel strony mógł wkleić prosty kod z wymienionym loginem (mydlinkBRionyg) i hasłem (abc12345cba), by do pewnego stopnia przejąć kontrolę nad dyskiem.

Dlaczego piszemy o tym w czasie przeszłym? Bo okazuje się, na szczęście, że w najnowszej wersji oprogramowania opisany przez badaczy sposób już nie działa. 

Po co więc w ogóle o tym mówić? Przede wszystkim po to, by przypomnieć, że pliki na takich dyskach nie są do końca bezpieczne i nie należy przechowywać tam najważniejszych danych, których utrata lub kradzież mogłaby być szczególnie bolesna. Zawsze warto też postarać się o dobre szyfrowanie (które zapobiegnie przynajmniej temu drugiemu).

Jeśli jesteście zainteresowani, tutaj znajdziecie szczegóły techniczne.

Aktualizacja, godz. 11.25: Otrzymaliśmy oficjalne stanowisko firmy Western Digital w tej sprawie – producent potwierdza w nim, że aktualna wersja oprogramowania jest wolna od błędów opisywanych w newsie. Poniżej jego pełna treść:

„Firma Western Digital zapoznała się i przeanalizowała doniesienia nt. błędów w zabezpieczeniach produktów z serii My Cloud. Specjalista ds. Bezpieczeństwa, który odkrył problem, skontaktował się z nami w 2017 r. – zgłoszone przez niego krytyczne luki w zabezpieczeniach zostały załatane w aktualizacji firmware’u w 2017 (w wersji v2.30.172). W kolejnych aktualizacjach usunięto również pomniejsze błędy. Zdecydowanie zachęcamy klientów do kontaktowania się ze wsparciem technicznym Western Digital w celu uzyskania pomocy w kwestii aktualizowania naszych urządzeń.

Przypominamy też, że zawsze należy dbać, by na urządzeniu zainstalowane było najnowsze oprogramowanie – rekomendowanym rozwiązaniem jest korzystanie z funkcji automatycznych aktualizacji. Zalecamy również wdrożenie klasycznych dobrych praktyk z dziedziny bezpieczeństwa, takich jak regularne tworzenie kopii zapasowych danych czy ochronę hasłami, a także zabezpieczenie routera za pomocą którego korzystamy z osobistej chmury lub urządzenia NAS.

Western Digital stale pracuje nad zwiększeniem możliwości oraz poziomu bezpieczeństwa naszych produktów – współpracujemy w tym celu m.in. ze społecznością ekspertów ds. bezpieczeństwa i rozwiązujemy zgłaszane przez nich problemy. Zachęcamy naszych klientów również do odpowiedzialnego zgłaszania wszelkich takich problemów, co pozwoli naszym specjalistom na bieżąco usuwać błędy i zapewnić klientom odpowiedni poziom bezpieczeństwa”.

Źródło: The Register, TechSpot. Foto: WD

Komentarze

  • spocco, #

    "Zalecamy również wdrożenie klasycznych dobrych praktyk z dziedziny bezpieczeństwa..."
    Hahaha... oni to chyba tego zdania nigdy nie zrozumieli, choćby ciut ciut. Śmieszne, gdy firma która dała dupy, poucza innych nt. bezpieczeństwa.

Dodaj komentarz

Dodawanie komentarzy tylko w wersji dla PC. Już wkrótce wersja mobilna.

Nie przegap

Szanowny Czytelniku.

Aby dalej móc dostarczać Ci materiały redakcyjne i udostępniać nasze usługi, pozostając w zgodzie z zasadami RODO, potrzebujemy również zgody na ewentualne dopasowywanie treści marketingowych do Twojego zachowania. Dbamy o Twoją prywatność. Nie zwiększamy zakresu naszych uprawnień. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności. Dowiedz się więcej.