Security des tages

Hat hier jemand so ein NAS von western digital mit dem abschreckenden namen „my cloud“ bei sich herumstehen? Zieht mal lieber den stecker! Da ist werksseitig ein klitzekleines hintertürchen eingebaut worden:

Die Firmware zahlreicher Modelle ermöglicht offenbar das Login mit hardgecodeten Default-Zugangsdaten aus der Ferne […] Zugriff mit Root-Rechten übers Internet […] erbat sich Western Digital bereits im Juni 2017 90 Tage Zeit, um die Sicherheitslücken zu schließen, was jedoch bis heute nicht passiert ist. Die Backdoor steht somit noch immer offen

m(

Natürlich, warum sollte man denn ein kleines hintertürchen schließen, wenn man es doch selbst eingebaut hat? (Andere erklärungen für so ein verhalten wollen mir beim besten willen nicht einfallen.) Auch weiterhin viel spaß mit irgendwelchen plastikkästen, die man euch verkauft, damit ihr sie schön, voll einfach und echt jetzt mal benutzerfreundlich mit einem ethernet-kabel ins internetz hängen könnt, ohne jemals auch nur elementare sicherheitsaktualisierungen dafür zu kriegen! Wenn euch das scheunentor nicht passt, könnt ihr ja einfach den näxsten plastikkasten kaufen.

Fest verdrahtete standard-anmeldungen für root? Das ist die neue offenheit! Den verbrechern dieser welt zum genuss und allen geheimdiensten zum wohlgefallen. Halleluja!

Aber hej, wo „cloud“ draufsteht, da regnen halt platschepampe die daten ab. Und die einladung zur freien kohdausführung für jedes siebenjährige häckkind bei seinen ersten unbeholfenen schritten ins neuland wird gleich mitgeliefert. Schon der produktname hätte bei mir eine akute kauf- und nutzungshemmung ausgelöst, so ganz irrazjonal und überhaupt nicht weiter begründbar. Ich würde ja auch keine nahrungsmittel kaufen, wo ganz groß zyankali auf der packung draufsteht… na ja, dumm kauft eben gut. Und frisst alles, was ihm werbeheins vorsetzen.

Schneller nachtrag: aus dem heiseforum, also ohne gewähr

Baugleich: D-Link DNS-320L ShareCenter

In dem Artikel wird mit keinem Wort erwähnt, das das D-Link DNS-320L ShareCenter baugleich mit dem WD Zeugs ist. Beide haben die selben hardcoded Login Daten.
Was für ein Zufall…

Es sind also vermutlich noch ein paar… ähm… fernwartbare NAS mehr im umlauf, und nicht alle tragen so alberne namen. Augen auf beim hardwäjhrkauf.

Eine Antwort zu “Security des tages

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google Foto

Du kommentierst mit Deinem Google-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.