WD My Cloud EX2-nas lekt bestanden op lokaal netwerk
Een kwetsbaarheid in de My Cloud EX2-nas van Western Digital, die ook in Nederland wordt verkocht, zorgt ervoor dat iedereen op het lokale netwerk toegang tot de bestanden op het apparaat kan krijgen, ongeacht de instelde bestandspermissies. WD wil het probleem echter niet verhelpen.
Dat stelt securitybedrijf Trustwave. Het probleem wordt veroorzaakt door een UPnP-mediaserver die automatisch wordt gestart bij het aanzetten van het apparaat. Hierdoor kan een ongeautenticeerde gebruiker alle bestanden op de nas benaderen, ongeacht ingestelde bestandspermissies of andere beperkingen. Trustwave waarschuwde WD, maar de fabrikant wil de onveilige standaardinstelling niet verhelpen.
Gebruikers worden verwezen naar een artikel waarin wordt uitgelegd hoe DLNA kan worden uitgeschakeld als men deze feature niet wil gebruiken. De onderzoekers hebben een tool ontwikkeld waarmee gebruikers hun eigen apparaten kunnen testen.
De reactie van WD op hun onveilige implementatie is slecht. De WD cloud disks laten de eigenaar geloven dat het product beveiligd is met gebruikersnaam en wachtwoord. De realiteit is dat slechts bepaalde functies beschermd zijn. Door opzettelijk de gebruiker slecht te informeren mag het misleidend genoemd worden. WD kiest voor gemak en waan van security boven het belang om de bestanden van hun klanten veilig te houden.
Er zijn meerdere oplossingen mogelijk, WD kiest voor de meest slechte.
De service is te beveiligen, bieden ze niet aan.
De service is onveilig, toch starten ze die standaard op zonder voor de gevolgen te waarschuwen.
De credentials die gevraagd worden komen niet met een waarschuwing dat bestanden standaard toch zonder credentials beschikbaar zijn.
Als de service standaard aan staat zonder beveiliging, waarom zouden ze dat dan doen? Het lijkt bedoeld om het onkundige klanten te helpen gebruik te maken van de features. Maar die klanten hoeven dan geen bescherming? Of zouden ze hun klanten omschrijven als lui? Wie te lui is om de beveiliging te snappen heeft bij WD geen beveiliging te verwachten?
Beste is lijkt mij, al je bestanden zetten op een fysiek losse hardeschijf en deze fysiek aansluiten wanneer je bepaalde bestanden nodig hebt. Deze hardeschijf kan natuurlijk ontvreemd worden, dus zou je die graag willen versleutelen. Maar kijk daar mee uit, want ook in NeDDR land gaat de dag komen dat je de bak in gaat wanneer je een ontsleutel wachtwoord niet kan (vergeten) of wil afgeven.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
