Clau per emportar
- Ubiquiti ven encaminadors sense fil de gamma alta i requereix que els nous clients creïn un compte en línia quan configuren el maquinari.
- La companyia va ser piratejada en el que inicialment va anomenar una bretxa de seguretat menor, però que els experts diuen que és molt pitjor que lleu.
- Els experts diuen que qualsevol maquinari que requereixi un compte en línia podria posar en perill les vostres dades i la vostra privadesa.
Ubiquiti, un fabricant de maquinari de xarxa amb moltes funcions, és l'última víctima d'una violació de seguretat que posa en risc les dades dels clients.
Ubiquiti és una de les diverses empreses que demana (o obliga) els clients a crear un compte quan configuren un nou maquinari. Altres encaminadors nous com l'Eero d'Amazon i el Nest Wifi de Google fan que els comptes basats en núvol siguin centrals per a l'experiència i no es poden utilitzar sense connexió.
La seva popularitat ha animat a les empreses d'encaminadors més tradicionals, com Netgear i Linksys, a seguir l'exemple amb les seves pròpies opcions allotjades al núvol o basades en aplicacions, tot i que encara són opcionals en la majoria dels casos.
"La violació només significa que les seves dades estan ara en mans d'una altra part, que no sigui el venedor", va dir Dong Ngo, editor de Dong Knows Tech i antic revisor d'encaminadors de CNET, en un missatge directe a LinkedIn.
Ngo creu que els comptes obligatoris basats en núvol són una mala notícia per a la privadesa i la seguretat dels clients, i sovint ha advertit els seus lectors sobre els problemes amb les interfícies basades en núvol.
Vols confiar en el teu encaminador? Deixa el núvol
La violació dels servidors d'Ubiquiti és un problema per als clients perquè molts dels productes de l'empresa requereixen la creació d'un compte basat en núvol. Un exemple és el Dream Machine, un encaminador prosumer que la companyia va llançar el 2019.
Ngo considera negatiu si un encaminador que revisa no permet utilitzar una alternativa controlada localment. Adverteix que el maquinari de xarxa que es basa en un compte obligatori basat en núvol no deixa als propietaris més remei que confiar la privadesa i la seguretat a un tercer i limita les opcions de l'usuari si es produeix una infracció.
Què ha de fer, doncs, un propietari conscient de la seguretat? "Contingueu amb la interfície web local", va dir Ngo. "Eviteu utilitzar una aplicació mòbil."
La millor opció no és un encaminador premium que promet una interfície de núvol robusta, sinó un encaminador senzill i econòmic amb una interfície local a la qual s'accedeix mitjançant un navegador web.
Els fans d'UniFi tenen les seves pors confirmades
La violació del servidor basat en núvol d'Ubiquiti va afectar als fans quan l'empresa va requerir que els propietaris de la majoria de dispositius es registressin per obtenir un compte d'Ubiquiti durant la configuració. És necessari per accedir a la plataforma UniFi de l'empresa, que controla els encaminadors i altres productes de xarxa de l'empresa.
La darrera declaració d'Ubiquiti, escrita en resposta a noves denúncies en un informe publicat pel periodista de seguretat Brian Krebs, es va publicar al seu fòrum comunitari el 31 de març.
La declaració repeteix que els experts en resposta a incidents "no van identificar cap evidència que s'hagués accedit a la informació del client ni tan sols s'hagués orientat". Ubiquiti continua treballant amb les forces de l'ordre per identificar l'atacant i afirma tenir "proves ben desenvolupades".
Això només va alimentar l'enrenou al fòrum de la comunitat de l'empresa, que serveix com a principal línia de comunicació amb els clients.
Tot i que l'empresa diu que no hi ha cap evidència que les dades dels clients s'hagin atacat o infringit, Ubiquiti no va refutar les noves denúncies que no va mantenir els registres adequats d'accés als comptes de clients al seu servei al núvol.
Un client que va publicar amb el nom de Sonar va deixar clara la seva decepció i va dir: "És una sal addicional a la ferida que Ubiquiti ha estat intentant forçar l'accés al núvol per la gola dels pobres [utilitzant productes UniFi]."
D' altres s'hi van unir, amenaçant amb boicotejar el futur maquinari d'Ubiquiti si el requisit del compte basat en núvol no s'elimina en futures actualitzacions de microprogramari.
La publicació de la comunitat que parla de l'informe de Krebs ha rebut més de 430 comentaris de clients i 17.000 visualitzacions. Una altra publicació que demana que Ubiquiti faci comptes locals disponibles ha rebut 250 comentaris i més de 12.000 visualitzacions.
No està clar què farà Ubiquiti per recuperar la confiança dels fans. L'empresa no va respondre a la sol·licitud de comentaris de Lifewire i no ha ofert cap resposta als clients als fils de la comunitat que parlaven de l'incompliment.
L'incompliment només significa que les seves dades estan ara en mans d'una altra part, que no sigui el venedor.
El silenci d'Ubiquiti sembla confirmar el consell d'Ngo. Un encaminador controlat localment pot tenir vulnerabilitats, però els propietaris almenys tenen opcions.
Els clients d'Ubiquiti s'enfronten a una opció més difícil: continuar confiant en l'empresa i esperar que el problema no sigui tan greu com es diu, o deixar d'utilitzar els seus productes per complet.
Aquesta mateixa opció espera als clients d' altres encaminadors que es basen en comptes basats en núvol. La seva senzillesa i comoditat poden semblar atractives, però les opcions a les quals s'enfronten els usuaris són tot menys simples quan s'incompleix el servei al núvol adjunt.
