Hátsó kapu a WD My Cloud háttértárakban

Vágólapra másolva!

A vállalat nem volt képes fél év alatt kijavítani a durva sebezhetőséget.

Origo

Vágólapra másolva!

Western Digital hálózati merevlemez háttértár

Biztonsági szempontból abszolút notóriusak az internetre kötött eszközök gyártói, a termékeik rendszeresen durva sebezhetőségekkel kerülnek a vásárlókhoz. Egyes esetekben a saját fejlesztésű kódjaik a hunyók, máskor pedig harmadik felek által készített komponensek sérülékenységei miatt támadhatóak a termékeik. Ezeken felül akad még egy kevésbé gyakori, de közel sem hallatlan típushiba: a kütyükön futó szoftverek fejlesztésekor a programozók kényelmi okból hátsó kapukat tesznek a szoftverekbe, de elfelejtik azokat kiszedni.

WD My Cloud DL4100 Forrás: Western Digital

Ami ennél is rosszabb hír, hogy tényleg egyetlen gyártóban sem lehet megbízni. A konkrét precedenst most épp a Western Digital szolgáltatta: a vállalat My Cloud családjába tartozó, hálózatra kötött adattárolók jókora részében található egy hátsó kapu, így bárki be tud jelentkezni az eszközökbe az interneten keresztül, ha megadja a „mydlinkBRionyg" felhasználói nevet és az „abc12345cba" jelszót.

Ezután teljes hozzáférése lesz a háttértárak tartalmához.

A történet megdöbbentő része ettől függetlenül az, hogy a hibát felfedezett James Bercegay körülbelül fél éve, 2017. június 10-én kereste meg a felfedezésével a gyártót, pár nappal később pedig a WD biztonsági csapata meg is erősítette az általa előkotort gondok létezését.

Ehhez képest olyan fél év leforgása alatt egyetlen hibajavítást sem adott ki a cég, pedig egy tucatnyi termékét érinti a probléma.

Az érintett hálózati adattárolókkal rendelkezők egy dolgot tehetnek annak érdekében, hogy ne férhessenek hozzá illetéktelenek az adataikhoz: ki kell húzniuk a hálózati kábelt a meghajtókból. A meghajtók internetről való elérésének letiltása nem teljesen hatásos, ugyanis weblapokba ágyazott támadó kódok segítségével még így is hozzáférhetőek lehetnek.