Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Naciskasz F5 i masz dostęp do zarządzania cudzymi sieciami / dostęp do feedów z obcych kamer. A mówili, że w cloudzie jest tak bezpieczenie… [awaria / luka w Ubiquiti]
Zobaczcie na to zgłoszenie:
Niedawno zalogowałem się na https://unifi.ui.com/consoles, aby uzyskać dostęp do moich konsol, tak jak to robię każdego dnia.
Jednak tym razem otrzymałem 88 konsol z innego konta. Miałem pełny dostęp do tych konsol, w taki sam sposób jak do swoich własnych, Zostało to zatrzymane dopiero, gdy wymusiłem odświeżenie przeglądarki i ponownie pokazano mi moje konsole.
Jest to dość niepokojące. Czy ktoś jeszcze miał taki problem?
Okazało się, że rzeczywiście inne osoby miały podobny problem – firma Ubiquiti wydała stosowne oświadczenie potwierdzając podatność/problem czy błąd.
Podobny problem występował również z kamerami:
Zwracam się z prośbą o poradę w związku z dziwną sytuacją, z jaką spotkaliśmy się z UniFi Protect. Niedawno moja żona otrzymała powiadomienie od UniFi Protect, które zawierało obraz z kamery bezpieczeństwa. Przy czym – niespodzianka – ta kamera nie należy do nas.
I’m reaching out for some advice regarding a peculiar situation we encountered with UniFi Protect. Recently, my wife received a notification from UniFi Protect, which included an image from a security camera. However, here’s the twist – this camera doesn’t belong to us.
Ktoś natychmiast dodaje:
To BARDZO interesujące. Właśnie miałem to napisać, kiedy dziś rano wszedłem na unifi.ui.com i byłem zalogowany na czyjeś konto! W prawym górnym rogu był mój adres e-mail, ale UDM Pro kogoś innego! Mogłem nawigować po urządzeniu, przeglądać i zmieniać ustawienia! Przerażające!!
So it’s VERY interesting you posted this, I was just about to post that when I navigated to unifi.ui.com this morning, I was logged into someone else’s account completely! It had my email on the top right, but someone else’s UDM Pro! I could navigate the device, view, and change settings! Terrifying!!
Ubiquiti wskazuje jako powód „aktualizację infrastruktury cloudowej”:
We have since identified – and addressed – the cause of this problem. Specifically, this issue was caused by an upgrade to our UniFi Cloud infrastructure, which we have since solved.
Wg producenta problem dotyczył maksymalnie około 1200 kont.
~ms
Problem nie jest/byl z chmura jaka taka tylko z softem Ubiquiti ktory w tej chmurze dziala. Rownie dobrze moglby dzialac na bare metalu w Pierdziszewie. Tytuly wam sie robia coraz bardziej clickbajtowe jak na jakims patoblogu typu Spidersweb czy Antyweb.
Z mojego punku widzenia to jest chmura. I nie istotne jest w której części tego rozwiązania wystąpił błąd. Takie błędy były, są i będą, dlatego WCIĄŻ warto rozważać aspect bezpieczeństwa związane z rozwiązaniami chmurowymi. Ja nie oddam swoich streamow czy backupów bez dodatkowego zabezpieczenia w pełni zależnego ode mnie.
Ciekawe czy beda jakies karynod regulatorow
Przecież ubiquiti używają bogaci mieszkańcy domów. Żadna firma nie kupi tego syfu.
O tak, firma kupi best in class fortinet’a. A nie czekaj …
Ty tak serio? Przejdź się po biurowcach, kawiarniach, szkołach czy co tam sobie wymyślisz i popatrz co na sufitach wisi.