[Aktualizacja 9.01.2018] Western Digital sprzedawał dyski NAS z backdorem
Autor: Zbyszek | źródło: TechPowerUp | 05:44
(5)
2018 rok zaczyna się od wpadek różnych producentów. Pierwsze skrzypce niewątpliwie gra tutaj Intel, w którego procesorach znajdują się luki bezpieczeństwa, ale krzemowy gigant nie jest w tym osamotniony. Jak się okazuje, firma Western Digital sprzedawała dyski NAS z serii MyCloud z wbudowanym backodrem. Tyle drzwi umożliwiające zalogowanie się do dowolnego urządzenia WD z serii MyCloud odkrył jeden z badaczy z dziedziny bezpieczeństwa IT. Po podaniu loginu mydlinkBRionyg oraz pasującego do niego hasła, można zalogować się do dowolnego spośród tysięcy urządzeń MyCloud podłączonych do globalnej sieci.
Western Digital został zawiadomiony o tym problemie 12 czerwca 2017 roku, jednak do tej pory, po prawie 8 miesiącach, problem nie został w żaden sposób rozwiązany i występuje nadal. W efekcie odkrywca backdora, aby zmusić WD do zajęcia się tym problemem, zdecydował się właśnie zawiadomić o jego istnieniu opinię publiczną.
I jest bardzo prawdopodobne, że został zmotywowany do takiego posunięcia przez zachowanie Intela, który na poważnie skupił się na łataniu luk bezpieczeństwa w swoich procesorach dopiero po upublicznieniu informacji o nich.
Aktualizacja | 9.01.2018 | 22.10
Oficjalne stanowisko Western Digital
Firma Western Digital zapoznała się i przeanalizowała doniesienia nt. błędów w zabezpieczeniach produktów z serii My Cloud. Specjalista ds. Bezpieczeństwa, który odkrył problem, skontaktował się z nami w 2017 r. – zgłoszone przez niego krytyczne luki w zabezpieczeniach zostały załatane w aktualizacji firmware’u w 2017 (w wersji v2.30.172). W kolejnych aktualizacjach usunięto również pomniejsze błędy. Zdecydowanie zachęcamy klientów do kontaktowania się ze wsparciem technicznym Western Digital (https://support.wdc.com) w celu uzyskania pomocy w kwestii aktualizowania naszych urządzeń.
Przypominamy też, że zawsze należy dbać, by na urządzeniu zainstalowane było najnowsze oprogramowanie – rekomendowanym rozwiązaniem jest korzystanie z funkcji automatycznych aktualizacji. Zalecamy również wdrożenie klasycznych dobrych praktyk z dziedziny bezpieczeństwa, takich jak regularne tworzenie kopii zapasowych danych czy ochronę hasłami, a także zabezpieczenie routera za pomocą którego korzystamy z osobistej chmury lub urządzenia NAS.
Western Digital stale pracuje nad zwiększeniem możliwości oraz poziomu bezpieczeństwa naszych produktów – współpracujemy w tym celu m.in. ze społecznością ekspertów ds. bezpieczeństwa i rozwiązujemy zgłaszane przez nich problemy. Zachęcamy naszych klientów również do odpowiedzialnego zgłaszania wszelkich takich problemów, co pozwoli naszym specjalistom na bieżąco usuwać błędy i zapewnić klientom odpowiedni poziom bezpieczeństwa.
K O M E N T A R Z E
:)) (autor: MacLeod | data: 8/01/18 | godz.: 07:51) Teraz zaczna odkrywac inne furtki, ktore sa WSZEDZIE...
Ha ha ha (autor: Micky | data: 8/01/18 | godz.: 08:26) Nie backdoor a tzw. łącze serwisowe. Jak sobie wyobrażacie zdalny dostęp do urządzeń i działanie na zdalnych serwerach, nazywanych chmurą?
@02 (autor: bmiluch | data: 8/01/18 | godz.: 23:39) "The backdoor, detailed here, lets anyone log in as user mydlinkBRionyg with the password abc12345cba."
wszyscy ktorzy tak wyobrażają sobie bezpieczny zdalny dostęp powinni pracować najwyżej na zmywaku
Do kompletu (autor: Tomasz | data: 9/01/18 | godz.: 01:13) brakuje uniwersalnego, bezpiecznego hasła do Windows :D
