Βασικά Takeaways
- Η Ubiquiti πουλά ασύρματους δρομολογητές υψηλής τεχνολογίας και απαιτεί από τους νέους πελάτες να δημιουργήσουν έναν διαδικτυακό λογαριασμό κατά τη ρύθμιση του υλικού.
- Η εταιρεία παραβιάστηκε σε αυτό που αρχικά αποκάλεσε μια μικρή παραβίαση ασφαλείας, αλλά η οποία σύμφωνα με τους ειδικούς είναι πολύ χειρότερη από μικρή.
- Οι ειδικοί λένε ότι κάθε υλικό που απαιτεί έναν διαδικτυακό λογαριασμό θα μπορούσε να θέσει τα δεδομένα σας και το απόρρητό σας σε κίνδυνο.
Η Ubiquiti, κατασκευαστής εξοπλισμού δικτύωσης πλούσιου σε δυνατότητες, είναι το τελευταίο θύμα παραβίασης ασφαλείας που θέτει σε κίνδυνο τα δεδομένα πελατών.
Η Ubiquiti είναι μία από τις πολλές εταιρείες που ζητούν (ή αναγκάζουν) τους πελάτες να δημιουργήσουν έναν λογαριασμό κατά τη δημιουργία νέου υλικού. Άλλοι νέοι δρομολογητές, όπως το Eero της Amazon και το Nest Wifi της Google, καθιστούν τους λογαριασμούς που βασίζονται σε cloud βασικούς στην εμπειρία και δεν μπορούν να χρησιμοποιηθούν χωρίς σύνδεση.
Η δημοτικότητά τους έχει ενθαρρύνει περισσότερες παραδοσιακές εταιρείες δρομολογητών, όπως η Netgear και η Linksys, να ακολουθήσουν το παράδειγμά τους με τις δικές τους επιλογές που φιλοξενούνται στο cloud ή βασίζονται σε εφαρμογές - αν και εξακολουθούν να είναι προαιρετικές στις περισσότερες περιπτώσεις.
"Η παραβίαση σημαίνει μόνο ότι τα δεδομένα τους βρίσκονται πλέον στα χέρια άλλου μέρους, εκτός από τον προμηθευτή", δήλωσε ο Dong Ngo, συντάκτης της Dong Knows Tech και πρώην αναθεωρητής δρομολογητών για το CNET, σε ένα άμεσο μήνυμα στο LinkedIn.
Ο Ngo πιστεύει ότι οι υποχρεωτικοί λογαριασμοί που βασίζονται σε cloud είναι κακά νέα για το απόρρητο και την ασφάλεια των πελατών και έχει προειδοποιήσει συχνά τους αναγνώστες του για τα προβλήματα με τις διεπαφές που βασίζονται σε σύννεφο.
Θέλετε να εμπιστευτείτε τον δρομολογητή σας; Ditch the Cloud
Η παραβίαση των διακομιστών της Ubiquiti αποτελεί πρόβλημα για τους πελάτες, επειδή πολλά από τα προϊόντα της εταιρείας απαιτούν τη δημιουργία ενός λογαριασμού που βασίζεται στο cloud. Ένα παράδειγμα είναι το Dream Machine, ένας δρομολογητής προμηθευτών που κυκλοφόρησε η εταιρεία το 2019.
Ο Ngo θεωρεί αρνητικό εάν ένας δρομολογητής που εξετάζει δεν επιτρέπει τη χρήση μιας τοπικά ελεγχόμενης εναλλακτικής λύσης. Προειδοποιεί ότι το υλικό δικτύου που βασίζεται σε έναν υποχρεωτικό λογαριασμό που βασίζεται σε σύννεφο δεν αφήνει τους ιδιοκτήτες χωρίς άλλη επιλογή από το να εμπιστεύονται το απόρρητο και την ασφάλεια σε τρίτους και περιορίζει τις επιλογές του χρήστη σε περίπτωση παραβίασης.
Τι πρέπει, λοιπόν, να κάνει ένας ιδιοκτήτης που έχει επίγνωση της ασφάλειας; "Μείνετε με την τοπική διεπαφή ιστού", είπε ο Ngo. "Αποφύγετε τη χρήση μιας εφαρμογής για κινητά."
Η καλύτερη επιλογή δεν είναι ένας δρομολογητής premium που υπόσχεται μια ισχυρή διεπαφή cloud, αλλά, αντ' αυτού, ένας απλός, φθηνός δρομολογητής με τοπική διεπαφή που έχει πρόσβαση μέσω ενός προγράμματος περιήγησης ιστού.
Οι θαυμαστές του UniFi επιβεβαιώθηκαν
Η παραβίαση του διακομιστή που βασίζεται σε cloud της Ubiquiti έπληξε τους θαυμαστές όταν η εταιρεία ζήτησε από τους κατόχους των περισσότερων συσκευών να εγγραφούν για λογαριασμό Ubiquiti κατά τη διάρκεια της εγκατάστασης. Απαιτείται πρόσβαση στην πλατφόρμα UniFi της εταιρείας, η οποία ελέγχει τους δρομολογητές της εταιρείας και άλλα δικτυωμένα προϊόντα.
Η τελευταία δήλωση της Ubiquiti, που γράφτηκε ως απάντηση σε νέους ισχυρισμούς σε μια αναφορά που δημοσιεύτηκε από τον δημοσιογράφο ασφαλείας Brian Krebs, δημοσιεύτηκε στο κοινοτικό φόρουμ της στις 31 Μαρτίου.
Η δήλωση επαναλαμβάνει ότι οι εμπειρογνώμονες αντιμετώπισης περιστατικών "δεν εντόπισαν στοιχεία που να αποδεικνύουν ότι οι πληροφορίες πελατών είχαν πρόσβαση ή ακόμη και στοχευμένες." Η Ubiquiti συνεχίζει να συνεργάζεται με τις αρχές επιβολής του νόμου για τον εντοπισμό του εισβολέα και ισχυρίζεται ότι έχει "καλά ανεπτυγμένα στοιχεία".
Αυτό πυροδότησε τον σάλο στο κοινοτικό φόρουμ της εταιρείας, το οποίο λειτουργεί ως η κύρια γραμμή επικοινωνίας με τους πελάτες.
Ενώ η εταιρεία λέει ότι δεν υπάρχουν στοιχεία που να αποδεικνύουν ότι τα δεδομένα πελατών ήταν στοχευμένα ή παραβιάστηκαν, η Ubiquiti δεν διέψευσε τους νέους ισχυρισμούς ότι απέτυχε να κρατήσει σωστά αρχεία καταγραφής πρόσβασης σε λογαριασμούς πελατών στην υπηρεσία cloud.
Ένας πελάτης που δημοσίευσε με το όνομα Sonar έκανε ξεκάθαρη την απογοήτευσή του, λέγοντας: "Είναι επιπλέον αλάτι στην πληγή που η Ubiquiti προσπαθεί να εξαναγκάσει την πρόσβαση στο σύννεφο κάτω από το λαιμό των φτωχών ανθρώπων [χρησιμοποιώντας προϊόντα UniFi]."
Συμμετείχαν και άλλοι, απειλώντας να μποϊκοτάρουν το μελλοντικό υλικό Ubiquiti εάν η απαίτηση λογαριασμού που βασίζεται σε cloud δεν απορριφθεί σε μελλοντικές ενημερώσεις υλικολογισμικού.
Η ανάρτηση της κοινότητας που συζητά την αναφορά του Krebs έχει λάβει πάνω από 430 σχόλια πελατών και 17.000 προβολές. Μια άλλη ανάρτηση που ζητά από την Ubiquiti να κάνει διαθέσιμους τοπικούς λογαριασμούς έχει λάβει 250 σχόλια και περισσότερες από 12.000 προβολές.
Δεν είναι σαφές τι θα κάνει η Ubiquiti για να ανακτήσει την εμπιστοσύνη των θαυμαστών. Η εταιρεία δεν απάντησε στο αίτημα του Lifewire για σχολιασμό και δεν έχει απαντήσει σε πελάτες σε θέματα της κοινότητας που συζητούν την παραβίαση.
Η παραβίαση σημαίνει μόνο ότι τα δεδομένα τους βρίσκονται πλέον στα χέρια άλλου μέρους, εκτός από τον προμηθευτή.
Η σιωπή από την Ubiquiti φαίνεται να επιβεβαιώνει τη συμβουλή του Ngo. Ένας τοπικά ελεγχόμενος δρομολογητής μπορεί σίγουρα να έχει ευπάθειες, αλλά οι ιδιοκτήτες έχουν τουλάχιστον επιλογές.
Οι πελάτες της Ubiquiti αντιμετωπίζουν μια πιο σκληρή επιλογή: να συνεχίσουν να εμπιστεύονται την εταιρεία και να ελπίζουν ότι το πρόβλημα δεν είναι τόσο σοβαρό όσο υποτίθεται ή να σταματήσουν να χρησιμοποιούν τα προϊόντα της εντελώς.
Αυτή η ίδια επιλογή περιμένει πελάτες άλλων δρομολογητών που βασίζονται σε λογαριασμούς που βασίζονται σε cloud. Η απλότητα και η ευκολία τους μπορεί να φαίνονται δελεαστικές, αλλά οι επιλογές που αντιμετωπίζουν οι χρήστες είναι κάθε άλλο παρά απλές όταν παραβιάζεται η συνδεδεμένη υπηρεσία cloud.