Kulcs elvitelek
- Az Ubiquiti csúcskategóriás fogyasztói vezeték nélküli útválasztókat árul, és megköveteli az új ügyfelektől, hogy hozzanak létre online fiókot a hardver beállításakor.
- A céget feltörték egy kezdetben kisebb biztonsági rést, de a szakértők szerint ez sokkal rosszabb, mint a kisebb.
- A szakértők szerint minden olyan hardver, amely online fiókot igényel, veszélybe sodorhatja adatait és magánéletét.
A funkciókban gazdag hálózati hardvereket gyártó Ubiquiti egy olyan biztonsági incidens legújabb áldozata, amely az ügyfelek adatait veszélyezteti.
Az Ubiquiti egyike azon cégeknek, amelyek új hardver beállításakor megkérik (vagy kényszerítik) az ügyfeleket, hogy hozzanak létre fiókot. Más új útválasztók, például az Amazon Eero és a Google Nest Wifi a felhőalapú fiókokat teszik az élmény központi elemévé, és nem használhatók kapcsolat nélkül.
Népszerűségük arra ösztönözte a hagyományos útválasztó cégeket, mint például a Netgear és a Linksys, hogy kövessék példájukat saját felhőalapú vagy alkalmazásalapú opcióikkal – bár ezek a legtöbb esetben még mindig nem kötelezőek.
"A jogsértés csak azt jelenti, hogy adataik most egy másik fél kezében vannak, nem az eladónál" - mondta Dong Ngo, a Dong Knows Tech szerkesztője és a CNET korábbi router-ellenőrzője a LinkedIn-en.
Ngo úgy gondolja, hogy a kötelező felhőalapú fiókok rossz hír az ügyfelek adatvédelme és biztonsága szempontjából, és gyakran figyelmeztette olvasóit a felhőalapú felületekkel kapcsolatos problémákra.
Bízni szeretne routerében? Vesd el a felhőt
Az Ubiquiti szervereinek feltörése problémát jelent az ügyfelek számára, mivel a vállalat számos termékéhez felhőalapú fiók létrehozása szükséges. Példa erre a Dream Machine, egy fogyasztói útválasztó, amelyet a cég 2019-ben adott ki.
Az Ngo negatívnak tartja, ha egy általa felülvizsgált router nem teszi lehetővé a helyileg vezérelt alternatíva használatát. Figyelmeztet arra, hogy a kötelező felhőalapú fiókra támaszkodó hálózati hardver nem hagy más választást a tulajdonosoknak, mint hogy az adatvédelmet és a biztonságot egy harmadik félre bízzák, és korlátozza a felhasználó lehetőségeit, ha jogsértés történik.
Mit kell tennie egy biztonságtudatos tulajdonosnak? „Maradjunk a helyi webes felületnél” – mondta Ngo. "Kerülje a mobilalkalmazások használatát."
A legjobb megoldás nem egy robusztus felhőfelületet ígérő prémium router, hanem egy egyszerű, olcsó router, webböngészőn keresztül elérhető helyi interfésszel.
Az UniFi-rajongók félelmei beigazolódtak
Az Ubiquiti felhőalapú szerverének feltörése fájdalmasan érintette a rajongókat, amikor a vállalat megkövetelte, hogy a legtöbb eszköz tulajdonosai regisztráljanak Ubiquiti-fiókot a telepítés során. Hozzá kell férni a vállalat UniFi platformjához, amely vezérli a vállalat útválasztóit és egyéb hálózati termékeit.
Az Ubiquiti legutóbbi nyilatkozata, amelyet a Brian Krebs biztonsági újságíró által közzétett jelentés új állításaira válaszul írt, március 31-én tették közzé közösségi fórumán.
A nyilatkozat megismétli, hogy az incidensekre reagáló szakértők "nem találtak bizonyítékot arra, hogy az ügyfelek információihoz hozzáfértek, vagy akár meg is célozták őket". Az Ubiquiti továbbra is együttműködik a bűnüldöző szervekkel a támadó azonosításán, és azt állítja, hogy "jól kidolgozott bizonyítékokkal" rendelkezik.
Ez csak fokozta a felzúdulást a cég közösségi fórumán, amely az ügyfelekkel való kommunikáció fő vonalaként szolgál.
Bár a vállalat szerint nincs bizonyíték arra, hogy az ügyféladatokat célozták vagy megsértették, az Ubiquiti nem cáfolta azokat az új állításokat, amelyek szerint nem vezetett megfelelő naplókat az ügyfélfiókokhoz való hozzáférésről a felhőszolgáltatásában.
Egy ügyfél, aki Sonar néven posztolt, nyilvánvalóvá tette csalódottságát, és azt mondta: "Kiegészítő só a sebben, hogy az Ubiquiti megpróbálta lenyomni a felhőhöz való hozzáférést a szegény emberek torkán [UniFi termékek segítségével]."
Mások csatlakoztak, és azzal fenyegetőztek, hogy bojkottálják a jövőbeli Ubiquiti hardvert, ha a jövőbeni firmware-frissítések során nem vetik el a felhőalapú fiókkövetelményt.
A Krebs jelentését tárgyaló közösségi bejegyzés több mint 430 vásárlói megjegyzést és 17 000 megtekintést kapott. Egy másik bejegyzés, amely arra kéri, hogy az Ubiquiti tegye elérhetővé a helyi fiókokat, 250 megjegyzést és több mint 12 000 megtekintést kapott.
Nem világos, mit tesz majd az Ubiquiti a rajongók bizalmának visszaszerzése érdekében. A vállalat nem válaszolt a Lifewire megjegyzéskérésére, és nem kínált választ az ügyfeleknek a jogsértést megvitató közösségi szálakban.
Az incidens csak azt jelenti, hogy adataik most egy másik fél kezében vannak, nem az eladón.
Az Ubiquiti csendje megerősíteni látszik Ngo tanácsát. Egy helyileg vezérelt útválasztónak biztosan lehetnek sebezhetőségei, de a tulajdonosoknak legalább van lehetőségük.
Az Ubiquiti ügyfelei nehezebb választás előtt állnak: továbbra is bíznak a cégben, és remélik, hogy a probléma nem olyan súlyos, mint azt állítják, vagy hagyják abba termékei használatát.
Ugyanez a választás várja más, felhőalapú fiókokat használó útválasztók ügyfeleit is. Egyszerűségük és kényelmük csábítónak tűnhet, de a felhasználók előtt álló lehetőségek nem egyszerűek, ha a csatolt felhőszolgáltatást megsértik.
