image

WD My Cloud EX2-nas lekt bestanden op lokaal netwerk

donderdag 26 april 2018, 09:58 door Redactie, 3 reacties

Een kwetsbaarheid in de My Cloud EX2-nas van Western Digital, die ook in Nederland wordt verkocht, zorgt ervoor dat iedereen op het lokale netwerk toegang tot de bestanden op het apparaat kan krijgen, ongeacht de instelde bestandspermissies. WD wil het probleem echter niet verhelpen.

Dat stelt securitybedrijf Trustwave. Het probleem wordt veroorzaakt door een UPnP-mediaserver die automatisch wordt gestart bij het aanzetten van het apparaat. Hierdoor kan een ongeautenticeerde gebruiker alle bestanden op de nas benaderen, ongeacht ingestelde bestandspermissies of andere beperkingen. Trustwave waarschuwde WD, maar de fabrikant wil de onveilige standaardinstelling niet verhelpen.

Gebruikers worden verwezen naar een artikel waarin wordt uitgelegd hoe DLNA kan worden uitgeschakeld als men deze feature niet wil gebruiken. De onderzoekers hebben een tool ontwikkeld waarmee gebruikers hun eigen apparaten kunnen testen.

Reacties (3)
26-04-2018, 10:53 door Anoniem
Het zal niet waar zijn, een fabriekant trekt weer de "feature" kaart
26-04-2018, 12:54 door Anoniem
Twonky DLNA werd in 2014 al op het forum van WD beschreven als onveilig. Ook toen stond het standaard aan bij opstarten.

De reactie van WD op hun onveilige implementatie is slecht. De WD cloud disks laten de eigenaar geloven dat het product beveiligd is met gebruikersnaam en wachtwoord. De realiteit is dat slechts bepaalde functies beschermd zijn. Door opzettelijk de gebruiker slecht te informeren mag het misleidend genoemd worden. WD kiest voor gemak en waan van security boven het belang om de bestanden van hun klanten veilig te houden.

Er zijn meerdere oplossingen mogelijk, WD kiest voor de meest slechte.
De service is te beveiligen, bieden ze niet aan.
De service is onveilig, toch starten ze die standaard op zonder voor de gevolgen te waarschuwen.
De credentials die gevraagd worden komen niet met een waarschuwing dat bestanden standaard toch zonder credentials beschikbaar zijn.

Als de service standaard aan staat zonder beveiliging, waarom zouden ze dat dan doen? Het lijkt bedoeld om het onkundige klanten te helpen gebruik te maken van de features. Maar die klanten hoeven dan geen bescherming? Of zouden ze hun klanten omschrijven als lui? Wie te lui is om de beveiliging te snappen heeft bij WD geen beveiliging te verwachten?
28-04-2018, 14:43 door Anoniem
Redelijk bizar, reden te meer om het gebruik van een NAS te staken. Hier dacht ik al langer over na, door de aanstaande sleepwet onzin die onze polizei meent te mogen gebruiken om zonder problemen of morele bezwaren) te mogen inbreken om computers, tablets, tekefoons en alle overige op het internet aangesloten apparatuur. Bizar dat iedereen de film das leben der anderen zo goed vinden en in die film de stasi fout vonden, maar de nederlandse justitie en polititie boefjes dat zijn uiteraard alleen maar lievertjes. Ook al gaan ze ordinair digitaal inbreken in apparatuur wat ander mans bezit is.

Beste is lijkt mij, al je bestanden zetten op een fysiek losse hardeschijf en deze fysiek aansluiten wanneer je bepaalde bestanden nodig hebt. Deze hardeschijf kan natuurlijk ontvreemd worden, dus zou je die graag willen versleutelen. Maar kijk daar mee uit, want ook in NeDDR land gaat de dag komen dat je de bak in gaat wanneer je een ontsleutel wachtwoord niet kan (vergeten) of wil afgeven.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.