WD My Cloud NAS via Backdoor angreifbar

[Olivetti]

Etliche WD My Cloud sind aus dem Internet, u.a. via unrestricted file upload und auch hardcoded root-zugangsdaten, angreifbar und sollten dementsprechend abgeschottet werden.

Genaue Modelle im Link: https://www.heise.de/security/meldu...-Digital-via-Backdoor-angreifbar-3935130.html

 

[MacMac512]

Danke für den Tipp, gleich mal an bekannte WD Cloud Nutzer weitergeleitet, auch wenn einige davon wohl eher beratungsresistent sind, aber die Verlockung ist wohl zu groß, weil das Ding einfach zu günstig und zu einfach im Setup ist... :/

 

[xentric]

Boah, kann doch nicht sein sowas. Dachte damit wären wir durch vor 6(?) Jahren als das in Routern aufkam ..

 

[MacMac512]

Gestern eine göttliche Diskussion gehabt mit einer Nutzerin, wie man die aktuelle Firmwareversion bestimmt.
Da wurde die IP und Firmwareversion auf dem Gehäuse gesucht und die Backdoor mit „wer will kommt eh rein“ kommentiert.

Die Tragweite wird glaube wirklich nur in Foren gesehen, ansonsten juckt es Otto normal nicht. Vermutlich der Grund warum sich die Dinger so gut verkaufen.

 

[CROWLEY]

„wer will kommt eh rein“

Klassiker. Auf gleicher Ebene wie "Ich hab nichts zu verbergen." Wenn man die Leute dann aber nach dem persönlichen E-Mail oder Gerätepasswort bittet, dann haben sie plötzlich doch was zu verbergen.

Das ist wieder die Krux an der Sache: Cloudlösung für Jedermann, aber durch Komfort geht die Sicherheit flöten.

Ich würde generell bei diesen Homecloud-Geräten von WD die Finger lassen. Die lassen sich gerne Zeit bei dem Stopfen von Lücken.

Synology/Qnap mit Owncloud ist da die bessere Alternative. Will sich halt niemand in die Materie einlesen...

 

[MacMac512]

Leider wahr.
Sinnvoll wäre wirklich der Umstieg auf Hardware die auch für Unternehmen geeignet ist und wo die Software auf der gleichen Basis läuft. Aber bei Usern die keine IP im eigenen Netzwerk rausbekommen, brauchst du damit nicht zu kommen.

Wobei gerade QNAP und Synology jetzt nicht wirklich kompliziert sind.