Nieuws
image

Western Digital laat lek in My Cloud al meer dan een jaar zitten

donderdag 20 september 2018, 13:51 door Redactie, 3 reacties

Harde schijffabrikant Western Digital heeft een beveiligingslek in de My Cloud-dienst, waarmee gebruikers vanaf het internet bestanden op hun harde schijf thuis kunnen benaderen, al meer dan een jaar laten zitten. Via de kwetsbaarheid kan een aanvaller de authenticatie omzeilen en zonder het opgeven van een wachtwoord als beheerder inloggen.

Het beveiligingslek was door twee onderzoekers onafhankelijk van elkaar ontdekt en aan Western Digital gerapporteerd. Onderzoeker Remco Vermeulen van het Nederlandse securitybedrijf Securify waarschuwde de harde schijffabrikant op 10 april 2017. Sindsdien werd er niets meer van Western Digital vernomen. Ook onderzoekers van Exploitee.rs ontdekten de kwetsbaarheid en rapporteerden die aan Western Digital. Tevens maakten ze de kwetsbaarheid vorig jaar juli openbaar tijdens de Def Con-beveiligingsconferentie in Las Vegas.

Begin dit jaar lieten de onderzoekers van Exploitee.rs via Twitter weten dat de kwetsbaarheid nog steeds niet was verholpen. Aangezien er nog altijd geen update beschikbaar is besloot ook Vermeulen de details over het beveiligingslek openbaar te maken. Daarop kwam Western Digital met een verklaring dat het binnen een aantal weken met een beveiligingsupdate zal komen.

Verder stelt de fabrikant dat een aanvaller al toegang tot het lokale netwerk van de gebruiker moet hebben om de kwetsbaarheid uit buiten of dat de gebruiker de standaardinstellingen heeft aangepast door remote toegang toe te staan. De volgende modellen zijn kwetsbaar: My Cloud EX2, EX4, EX2100, EX4100 en EX2 Ultra, DL2100 en DL4100, PR2100 en PR4100, de My Cloud Mirror en My Cloud Mirror 2e generatie. Wanneer de beveiligingsupdate precies zal verschijnen is nog niet bekend.

Reacties (3)
21-09-2018, 01:57 door [Account Verwijderd]
Voilà... dit is dus één van de redenen waarom ik mijn data niet toe vertrouw aan derden. Ik beheer mijn data gewoon lekker oldschool op (versleutelde) harde schijven thuis. Dus niet via de cloud, en ook niet - zoals hierboven beschreven - benaderbaar via het internet. Mijn oldschool methode is misschien ook niet voor 100% veilig, maar zo houd ik tenminste de controle over mijn eigen data in eigen hand.
21-09-2018, 12:21 door Anoniem
Door Unix4: Voilà... dit is dus één van de redenen waarom ik mijn data niet toe vertrouw aan derden. Ik beheer mijn data gewoon lekker oldschool op (versleutelde) harde schijven thuis. Dus niet via de cloud, en ook niet - zoals hierboven beschreven - benaderbaar via het internet. Mijn oldschool methode is misschien ook niet voor 100% veilig, maar zo houd ik tenminste de controle over mijn eigen data in eigen hand.

Correctie, het gaat hier niet om een functie om data op de cloud op te slaan. Het gaat om een functie om je NAS vanaf internet te kunnen benaderen. Dit wordt dus die My-Cloud dienst genoemd.

Toevallig bezit ik een WD My Cloud device die uiteraard geen standaard wachtwoord heeft en de Cloud functie uit heeft staan. En uiteraard het brakke uPnP protocol staat uit op de router.
21-09-2018, 15:37 door [Account Verwijderd]
Het gaat om een functie om je NAS vanaf internet te kunnen benaderen. Dit wordt dus die My-Cloud dienst genoemd.

Dat weet ik, maar ik trok het even verder. Daarom schreef ik ook:

Citaat:
Dus niet via de cloud, en ook niet - zoals hierboven beschreven - benaderbaar via het internet.

Iedereen moet het voor zichzelf weten, maar ik zou mijn data nooit willen benaderen via internet. Niet dat mijn data zo bijzonder is, maar via een online ingang je data op afstand kunnen benaderen (bijvoorbeeld via de cloud) is gewoonweg nog niet veilig genoeg. Gebruiksvriendelijkheid en veiligheid zijn op dit moment nog als olie en water (het mixt niet!). Met andere woorden: de veiligheid van dergelijke oplossingen zal de gebruiksvriendelijkheid doen laten afnemen. Maar omdat men het zo gebruiksvriendelijk mogelijk wil aanbieden gaat dit vooralsnog ten koste van de veiligheid.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search