'WD My Cloud-nassystemen zijn kwetsbaar door voorgeprogrammeerde login'

Een beveiligingsonderzoeker heeft details gepubliceerd van ongepatchte lekken in My Cloud-nassystemen van Western Digital. Een van de lekken betreft een hardcoded login, die de onderzoeker omschrijft als backdoor.

De analyse van de kwetsbare software is afkomstig van James Bercegay van beveiligingsbedrijf GulfTech. De lekken zijn aanwezig in versies van My Cloud tot aan nummer 2.30.165 en versies van My Cloud Mirror tot aan nummer 2.30.165. Firmware met 04.x-versienummers zou niet kwetsbaar zijn. De onderzoeker ontdekte dat er een backdoor aanwezig is die luistert naar de gebruikersnaam 'mydlinkBRionyg' en gebruikmaakt van een standaardwachtwoord. Deze zou op afstand gebruikt kunnen worden om roottoegang te verkrijgen.

Daarnaast ontdekte Bercegay dat het mogelijk is om bestanden te uploaden naar kwetsbare apparaten en ook op die manier een root shell te openen. Hij vermeldt dat hij Metasploit-modules heeft geschreven op basis van zijn bevindingen. Naast de twee beschreven kwetsbaarheden ontdekte hij ook andere lekken, zoals csrf en command injection. Een beveiligingsanalist laat via Twitter weten dat hij met een snelle Shodan-zoekactie meer dan 8000 kwetsbare en via internet toegankelijke apparaten heeft gevonden.

Bercegay schrijft dat hij WD in juni op de hoogte heeft gesteld van zijn bevindingen. Na drie dagen ontving hij bevestiging dat zijn melding was binnengekomen, maar vernam vervolgens niets meer. Daarom besloot hij nu de lekken te publiceren. Kwetsbare apparaten zijn de My Cloud Gen2, PR2100, PR4100, EX2 Ultra, EX2, EX4, EX2100, EX4100, DL2100 en DL4100. Het is niet de eerste keer dat er lekken in de My Cloud-software worden gevonden, begin vorig jaar ontdekte een onderzoeker van Exploiteers meer dan 80 lekken.

Reacties (78)

Ossebol 6 januari 2018 13:17

Het lijkt er overigens op dat WD wel iets met de melding heeft gedaan. De laatste firmware-update voor de MyCloud-systemen dateert van november (versie 2.30.172), en daar zit de hardcoded login niet meer in. Overigens was het wel netjes geweest als WD de onderzoeker had benaderd dat de kwetsbaarheid is opgelost.

[Reactie gewijzigd door Ossebol op 23 juli 2024 20:09]

Tafelpoowt @Ossebol • 6 januari 2018 16:58

Inderdaad, dit werd al gepatched in 2.30.172 in november:

- Resolved SMB server (samba) security vulnerability (CVE-2017-7494) - Malicious clients can upload and cause the SMB server to execute a shared library from a writable share.
- Resolved critical security vulnerabilities that potentially allowed unauthorized file deletion, unauthorized command execution and authentication bypass.
- Improved Cloud Access connectivity from the device.

xorinzor @Tafelpoowt • 7 januari 2018 00:51

Dat is echter niet voor alle apparaten hetzelfde, mijn "My Cloud mirror" zit inderdaad op de door jou genoemde firmware versie, echter mijn "MyCloud EX2" zit op 2.11.168 als meest up-to-date versie.

Het is mij alleen onduidelijk of daar deze backdoor nog in zit of niet.

Tafelpoowt @xorinzor • 7 januari 2018 11:45

Hier is de laatste versie voor EX2 met de patches.
https://community.wd.com/...-2-30-174-11-28-17/217993

Alle producten hier hebben een update beschikbaar sinds november 2017.

EDIT2: een volledig overzicht waarbij de firmware nagekeken werd voor de gerapporteerde kwetsbaarheden hier

[Reactie gewijzigd door Tafelpoowt op 23 juli 2024 20:09]

xorinzor @Tafelpoowt • 25 januari 2018 00:54

Ah, kijk, dat is informatie waar ik iets mee kan! bedankt!

The Zep Man

Netwerk en systeembeheer
Security

5 januari 2018 21:47

Een hard-coded login valt onder grove nalatigheid. Ook installeren de betreffende apparaten niet automatisch een nieuwe versie. Handig.

Iomega had ook 'cloud' edities van hun NAS storage apparaten. Die kregen ook al vlot geen updates meer, en hebben stokoude software. Het is dus niet alleen Western Digital die slecht omgaat met beveiliging, maar dat maakt het niet minder erg.

[Reactie gewijzigd door The Zep Man op 23 juli 2024 20:09]

lasharor @The Zep Man • 5 januari 2018 22:05

Wat heeft het ontbreken van updates voor Iomega apparaten met WD Cloud NAS apparatuur te maken?

Als je gewoon een consumenten NAS koopt dan heb je toch niet de verwachting dat de producent die tot in de eeuwigheid blijft updaten? Iomega is in 2013 opgegaan in een Joint venture met Lenovo dus lijkt het me niet echt logisch om nog support te vragen voor nas systemen die inmiddels al minimaal 4 jaar oud zijn.

Wim-Bart @lasharor • 5 januari 2018 22:20

Wel als je dit soort Hardware in 5 jaar afschrijft. En waarom zou een prima werkend systeem na 3-4 jaar weg moeten. Belachelijk dat door ontbreken van fabrikant updates hardware minder lang mee gaat.

wiseger @Wim-Bart • 6 januari 2018 00:24

Dat is altijd al zo geweest. Consumenten betalen alleen voor de hardware, niet voor de updates. Een fabrikant kan een product niet langdurig ondersteunen omdat hij dan veel duurder dan de concurrentie zou zijn. Prijs is nou eenmaal de belangrijste factor bij niet technische consumenten.

S.J.Onnie @wiseger • 6 januari 2018 07:55

Moet je eens een kijkje nemen bij Synology. Apparaten van 6 jaar (en ouder!!) Worden nog steeds ondersteund. Mijn DS211 krijgt nog zeer regelmatig updates en nieuwe firmware komt ook nog voor.

Is Synology zoveel duurder? Ik vind van niet! Zeker niet als ik zie hoe goed en lang ze supporten!

Wat Synology kan, kan WD waarschijnlijk niet maar ze zouden het kunnen proberen;-)

Habana @S.J.Onnie • 6 januari 2018 17:26

Dat kan ik beamen, mijn DS211+ uit 2011 draait nog steeds probleemloos en word nog altijd voorzien van updates..

SB[NL] @wiseger • 6 januari 2018 16:28

Mensen lijken wel het steeds normaler te vinden dat je tegenwoordig maar een hele korte periode (<=2 jaar) veiligheidsupdates mag verwachten....

Ik zelf vind dat aangezien WD de producten als Cloud enabled devices, inclusief allerlei verkoop bevorderende opties zoals backup/synchronisatie van je mobiele en vaste devices over het Internet (!) presenteert, hoort de firmware en ondersteunende client software bij veiligheidsissues daar dus ook bij.
Tis niet dat klanten nieuwe features eisen.

Aangezien ik als klant niet zelf kan beslissen welk OS op het device draait, maakt dat de firmware én de hardware één verplicht geheel vormen, om het product naar volle potentie, veilig binnen de door de producent gepresenteerde kaders te kunnen gebruiken.

Daarnaast is het wel zo netjes (en gebruikelijk?) om bij het stoppen van veiligheidsupdates minstens een persbericht uit te sturen naar je klanten. Een goede aftersales is immers heel belangrijk om je klanten te behouden zodat zij juist bij vervanging van het product, die goede ondersteuning als ervaring meenemen. Zelfs al zou het zo zijn dat een goede service dus ook gewoon een stuk eigenbelang is.

Het wordt tijd dat er een verplichte veiligheidsupdate tijdlijn komt bij apparaten, die afhankelijk zijn van de producent voor veiligheidsupdates, zodat je als klant van te voren weet hoe lang het product ondersteund zal worden en je ook dat in je vooronderzoek mee kan nemen.

GekkePrutser @SB[NL] • 6 januari 2018 23:48

Goed idee. Net zoiets als de financiële bijsluiter of energielabel. Gek dat dat bij IT spullen zo weinig aandacht heeft.

[Reactie gewijzigd door GekkePrutser op 23 juli 2024 20:09]

Durandal @wiseger • 6 januari 2018 02:37

Consumenten betalen voor een werkend product zonder fabrikagefouten. Een backdoor is niet wat je mag verwachten bij dit product, dus moet het gerepareerd, vergoed of vervangen worden. Ook bij een product dat al langer op de markt is.

SuperDre @Wim-Bart • 6 januari 2018 10:49

Tja, dus jij schrijft em misschien in 5 jaar af, ik misschien 10. En de nas blijft in principe ook nog steeds gewoon werken, hij is niet kapot..

Wim-Bart @SuperDre • 6 januari 2018 15:20

Hij is wel kapot. Op het moment dat de integriteit van de data op een Nas niet meer gewaarborgd kan worden is het defect.

Integriteit van data kan als volgt worden aangetast:
- hardware defect (disk, device)
- fout in software (bijvoorbeeld een bug in berekenen parity)
- ongewenste toegang (door fout in software)

Fout door verkeerde configuratie daar in tegen is geen defect. Dat het gedrag anders is dan men wil is geen defect maar een zelf gekozen configuratie.

Daarom zou je zeker wel een periode van 5-10 jaar ondersteuning mogen verwachten.

[Reactie gewijzigd door Wim-Bart op 23 juli 2024 20:09]

SuperDre @Wim-Bart • 6 januari 2018 17:12

Dat vindt jij, maar de nas zelf is niet defect, je kunt em ook 'offline' gebruiken. En de integriteit van de data op de nas is nooit te garanderen, dus is die volgens jouw definitie (ook als deze lekken er niet waren) al kapot vanaf het moment dat jij em hebt.. dan mag je overigens naast deze lekken misschien ook nog rekening houden met de meltdown/spectre lekken, want veel hebben een cpu er in zitten die vatbaar daarvoor is.

Luno @lasharor • 5 januari 2018 22:18

Waarom zou je na 4 jaar geen support meer mogen krijgen?
Zou je het in de haak vinden als je auto, aangenomen dat je een auto hebt, na 4 jaar niet gerepareerd mag worden. Of is dat ineens wel logisch.
Een 1TB NAS van 4 jaar is nog steeds een 1TB NAS en is niet per definitie aan vervanging toe.

Opperpanter2 @Luno • 5 januari 2018 22:57

Bij een auto krijg je 2,3 of 4 jaar garantie. Daarna moet je inderdaad betalen om hem te laten maken.
Je kan je NAS na 4 jaar ook laten maken (updaten) ergens tegen betaling als je wilt.

Ik zeg niet dat het handig is dat de updates na 4 jaar stoppen, maar de vergelijking met een auto en reparaties gaat niet echt op.

Mindless999 @Opperpanter2 • 5 januari 2018 23:27

Dat is alleen als het kapot is, of niet gerepareerd kan worden. Mocht het iets zijn wat zou moeten werken en daadwerkelijk gevaar kan leveren zullen de meeste fabrikanten alsnog een update of vervanging doorvoeren, ook al is de auto 20 of ouder.

Niet dat ik verwacht dat de hardware van een nas het zolang uithoudt, maar als het systeem software vergelijkbaar is met een huidige versie vind ik dat je er vanuit moet kunnen gaan dat er in ieder geval wel veiligheidsupdates worden toegepast.
Mocht het systeem echter ook al jaren niet meer verkocht en verkrijgbaar zijn, ben ik het eens dat deze niet snel of geen updates meer zouden krijgen. Het is echter zo dat tegenwoordig de uitbreidingen en vernieuwing niet zo nodig zijn als in het verleden waardoor je dus ook langer het ermee kan doen.

Simply put; als het iets is wat slijtage heeft moet je ervoor betalen. (O.a. defecte hardware buiten garantie) mocht het iets zijn wat alsnog goed moet zijn en volgens design een fout heeft wat veiligheid in het geding brengt, moet dit worden aangepast/vervangen worden, indien dit in de macht van de leverancier zit. (Als er een design flauw in intel zit kan je dat een WD niet kwalijk nemen)

Durandal @Opperpanter2 • 6 januari 2018 02:35

Dit valt onder 'fabrikagefouten' en moet gemaakt worden door de verkoper, anders kan het contract worden ontbonden, gedurende de normale levensduur van het product. Aangezien het product verder nog werkt zit hij duidelijk nog in zijn levensduur.

SuperDre @Durandal • 6 januari 2018 10:47

En daar ga je fout, omdat iets nog werkt wil dat niet zeggen dat de fabrikant het nog moet fixen. Verwachte levensduur is een redelijk loze term, want jij VINDT misschien dat dat ding minimaal 4-6 jaar mee moet kunnen gaan, en ik VIND dat zoets minimaal 10-12 jaar mee moet gaan, wie van ons heeft nu gelijk?

Durandal @SuperDre • 7 januari 2018 15:01

Ik zal het verduidelijken.

Beveiliging is een essentieel punt van zo'n NAS, en die staat open, dus dat is een fabrikagefout.
Fabrikagefouten moeten door de verkoper opgelost worden, dus in de praktijk als de fabrikant geen patch heeft is dat reden voor ontbinding van het contract.

In nederland heb je (als consument) kopersbescherming voor de normale levensduur van het apparaat; aangezien het apparaat verder nog werkt komt de verkoper niet weg met te stellen dat het inmiddels buiten de levensduur zit.

SuperDre @Durandal • 8 januari 2018 02:21

In Nederland geldt gewoon de standaard garantie van 2 jaar, dus na die 2 jaar hoeft de fabrikant helemaal niets meer. De verkoper komt er wel degelijk mee weg, want zoals ik al zei, WAT is de verwachte levensduur van een apparaat. Ik ga jou garanderen dat er maar weinig verkopers zullen zijn die met jouw redenatie mee gaan en jou je geld terug gaan geven (of een vervanger).
En de NAS werkt ook nog steeds gewoon binnen jouw network, enige is dat je em dan niet meer aan het internet moet hangen (waar veel mensen em dus ook niet voor gebruiken), voor jou is beveiliging van de NAS een essentieel punt, de basisfunctie van de NAS is dat je een centraal punt hebt waar jij je data neer kunt zetten (of dat nu veilig of niet is, is een 2e).

ASS-Ware @Opperpanter2 • 6 januari 2018 03:40

Bij een auto krijg je 2,3 of 4 jaar garantie. Daarna moet je inderdaad betalen om hem te laten maken.
Je kan je NAS na 4 jaar ook laten maken (updaten) ergens tegen betaling als je wilt.

Ik zeg niet dat het handig is dat de updates na 4 jaar stoppen, maar de vergelijking met een auto en reparaties gaat niet echt op.

Deze vergelijking gaat mank.
Als er een issue met betrekking tot veiligheid wordt gevonden in een auto van 5 jaar oud, of ouder, dan vindt er toch een terugroepactie plaats.
Dit is al vaker in het verleden gebeurd.

Vizzie @ASS-Ware • 6 januari 2018 06:52

Mee eens dat wd ook updates uit zou moeten brengen, maar als er iets met een auto misgaat kunnen er doden vallen. Als iemand op je thuis-nas inbreekt kunnen ze je vakantiefoto's zien. Andere orde van grootte.

Fijinees @Opperpanter2 • 6 januari 2018 17:41

Als ik zou willen kunnen fabrikanten van elektronische apparaten na 5 jaar niet meer repareren, er zijn geen onderdelen meer te vinden.

SpoekGTi @Opperpanter2 • 6 januari 2018 19:02

Nee dat kan dus niet, als eenmaal de fabrikant van de NAS stopt met de support kan jij niet elders een nieuwe software versie van halen, terwijl je van je auto van 15 jaar oud gewoon naar een garage kan voor een onderdeel en hebben ze dat niet liggen dan hebben ze het gemiddeld in het magazijn en dus de volgende dag wel

lasharor @Luno • 5 januari 2018 22:31

Prima toch, diezelfde haak kan je dan nog altijd gebruiken. Maar als na 4 jaar blijkt dat alle nieuwe aanhangers werken met een ander veel veiliger systeem dan moet je niet bij de fabrikant gaan aankloppen en zeuren om een vervanger. Dat is immers het risico wat je neemt bij aanschaf, had je net zo goed 4 jaar kunnen wachten en iets kunnen kopen dat nu wel up-to-date is

TimDJ @lasharor • 5 januari 2018 22:17

Alsof de gemiddelde consument zijn nas na 4 jaar weggooit. Bij connected devices juist wel logisch dat je kan blijven updaten. Dan wel een betaalde update naar nieuwe os versie kan krijgen.

wiseger @TimDJ • 6 januari 2018 00:23

De gemiddelde consument zou geen NAS aan moeten schaffen, hij heeft niet de kennis om die veilig te houden. Dan is het beter om op je commerciele OS te vertrouwen die wel ondersteunt wordt door bijvoorbeeld Microsoft of Apple.

Wil je toch via Internet bij je bestanden kunnen, neem dan gewoon storage in de cloud van Google, Microsoft, Amazon, Apple of welke andere grote leverancier je voorkeur heeft.

Fijinees @wiseger • 6 januari 2018 17:43

En bij die jongens zijn mijn gegevens wel veilig?

Ik weet zeker van niet.

wiseger @Fijinees • 7 januari 2018 19:18

Veilig tegen derden wel, niet veilig tegen de genoemde bedrijven zelf, je zal de voorwaarden goed moeten doorlezen, zeker als je voor gratis opslag gaat, dan mogen ze vaak je bestanden doorzoeken.

Je weet echter wel dat de leverancier er alles aan doet om ongeoorloofde toegang van derden tegen te gaan. Koppel je zelf een NAS aan het Internet, dan weet je bijna zeker dat hij op termijn niet meer veilig is tenzij je er verstand van hebt.

SunnieNL

@lasharor • 5 januari 2018 22:38

Nouja, tot in eeuwigheid niet, maar dit is gewoon nalatigheid in de software die ze zelf hebben uitgebracht. Je mag er vanuit gaan dat ze geen hardcoded login gebruiken en zorgen voor goede cloud beveiliging.
Zo lang ze de cloud functie werkend houden mag je daar wel updates op verwachten. Mijn Synology uit 2012 krijgt ook nog steeds updates.

Damic @lasharor • 5 januari 2018 23:14

Mijn qnap krijgt nog altijd updates, oke is iets minder consument en meer prosument maarja maakt het niet minder.

wiseger @The Zep Man • 6 januari 2018 00:16

Bijna alle consumenten producten krijgen al vrij snel geen updates meer. Dat zit namelijk in het pricing model verwerkt. Bij professionele producten betaal je namelijk voor de software, niet zozeer voor de hardware en daardoor zijn die producten ook stukken duurder dan consumenten producten.

Een voorbeeldje, mijn TP-Link router is twee jaar na aanschaf al EOL verklaard door de fabrikant. Zal je niet gebeuren bij professionele merken zoals Cisco, alleen betaal je dan meteen stukken meer.

triflip @wiseger • 6 januari 2018 10:49

En daar gaat het dus mis, een gemiddelde router heeft denk ik toch wel een levensduur van 4+ jaar. Zelfde wat betreft consumenten nas systemen.

Als consument mag je ervan uitgaan dat het product ook veilig is gedurende de gemiddelde levensduur. 2 jaar garantie op HW is wat mij betreft prima maar de SW mag je langere garantie op verwachten.

Helaas is de regelgeving nog niet ver genoeg ontwikkeld en loopt het flink achter op technisch gebied. Maar wat mij betreft zou er vanuit de EU een beveiligings garantie van minimaal 4 jaar in het leven moeten worden geroepen voor alles wat verbinding kan maken met het internet. (Dan is gelijk het issues met de budget telefoons die nooit updates krijgen direct opgelost)

dezejongeman @The Zep Man • 6 januari 2018 01:29

wd brengt nig regelmatig patches uit.mijn dl4100 heeft in november nog een patch gehad.

hoe dan ook het is gewoon niet handig om zo'n nas ding met alle hebben en houwen publiekelijk aan het internet te hangen. wil je het ding benaderen, hang deze dan achter een vpn.

Anoniem: 636203 @The Zep Man • 6 januari 2018 13:35

Niet nalatigheid, maar gewoon kwaadaardigheid.

Vanwege al deze rommel software die ze bij een NAS leveren zou ik er zelf niet zo snel één kopen. Je kan makkelijk zelf wat hardware kopen en OpenNAS of zo er op zetten.

[Reactie gewijzigd door Anoniem: 636203 op 23 juli 2024 20:09]

gumkop @The Zep Man • 6 januari 2018 03:06

"The Zep Man:
Een hard-coded login valt onder grove nalatigheid. Ook installeren de betreffende apparaten niet automatisch een nieuwe versie. Handig. |:("

Nou nou nou, elke fabrikant brengt op een gegeven moment wel iets uit met een fout erin, en deze WD apparaten updaten zichzelf WEL, in tegenstelling tot wat jij beweert.

Loggedinasroot 5 januari 2018 21:47

Wat ga je dan hard onderuit zeg als bedrijf.
Of was dit een geautomatiseerde bevestiging?
Uiteraard zijn beide onacceptabel, maar ik ga er van uit dat hij daarna nog wel een paar emailtjes heeft gestuurd?

mjl @Loggedinasroot • 5 januari 2018 21:51

Was ongetwijfeld een automatische bevestiging. Dit soort bagger moet men ver van blijven. Jammer alleen dat wd op HDD gebied nogal een naam heeft en mensen dit al snel interptreteren dat het met dit soort services dan ook wel goed zal zijn...

jqv @mjl • 5 januari 2018 23:17

Alsof de gewone consument weet dat WD jaren lang een toonaangevend bedrijf is geweest op harddisk gebied.

Die kochten een ASUS, ACER, MAC of wat dan ook.
Als het maar goed werkt en voor hen alles doet wat ze wilden.

Als tweakers weten wij dat dan weer wel.

SuperDre @jqv • 6 januari 2018 10:54

Oh vertel, want als tweaker hebben we allemaal wel meningen over wat eel en niet een goed bedrijf is, en heeft de een wel alleen maar goede ervaringen met merk X en de ander behoorlijk wat slechte ervaringen maar weer niet met merk Y, waar de andere 'tweaker' dan weer juist slechte ervaringen mee heeft.

mjl @jqv • 6 januari 2018 20:33

Wd is toch wel een gerenomeerd HDD merk. Ik moet zeggen dat ze nog steeds de beste RMA voorwaarden hebben, (ze sturen een nieuwe disk, je stiuurd de oude daarna terug naar een antwoord nummer) Bij Samsung wordt je van het kastje naar de muur gestuurd (als je überhaupt het kastje of de muur kunt vinden op de site). Seagate laat je rustig 2x verzendkosten betalen of vertelt je doodleuk dat ze maar 1 jaar garantie geven (je rechtsbijstand helpt je niet eens om dat aan te vechten aangezien ze een eigen risico hanteren die dit soort claims al snel uitsluit).

Ook vijf e gemiddelde consument is dit wel bekend...

supersnathan94

@mjl • 5 januari 2018 23:22

Als de geautomatiseerde bevestiging er een aantal dagen over doet klopt er iets niet helemaal.

StefanSvD 5 januari 2018 22:03

Ik bezit dus een MyCloud EX2 Ultra. Moet ik nu als niet 'techie' me zorgen maken? Heb 2x4gb iron wolf er in zitten die achter een wpa psk2 wifi beveiligd zitten. Maak me niet heel veel zorgen er staan alleen honderden films series en wat pron op

(Btw guys echt ideaal zo een NAS, ik check alles vanaf elk device wat over wifi beschikt)

Loggedinasroot @StefanSvD • 5 januari 2018 22:09

Kan je je nas ook van buitenshuis benaderen? Heb je poorten geforward oid?

StefanSvD @Loggedinasroot • 5 januari 2018 22:27

Oke nee dat staat uit! Thanks. Jezus, de opties in dit apparaat zijn talrijk, en niets zegt me iets xD. FTP, NTP, SMB, AFP, NFS, WebDAV, SNMP, SSH.

. Oh weet je misschien bij hoeveel procent opslag op de harde schijf het verstandig is om er niet méér bij te proppen? Alvast bedankt.

baz_ @StefanSvD • 5 januari 2018 23:39

Je bent nog steeds vatbaar via je browser. Het bezoeken van een geprepareerde website dat JavaScript bevat om deze lek uit te buiten kan nog steeds resulteren in een gecomprimeerde MyCloud. Het vinden van je MyCloud in je netwerk is redelijk simpel aangezien deze standaard mdns ondersteund. Volgens mij was het standaard wdmycloud.local.

supersnathan94

@StefanSvD • 5 januari 2018 23:25

Als je daar meer info over wil kun je dat beter in het forum bespreken. Daar kun je wat dieper hierop ingaan.

xxxneoxxx @supersnathan94 • 5 januari 2018 23:51

Of beginnen met vragen inkloppen op Google en jezelf inlezen.

supersnathan94

@xxxneoxxx • 6 januari 2018 00:01

Ook best, maar niet hier iig.

xxxneoxxx @supersnathan94 • 6 januari 2018 00:02

Eens.

Damic @StefanSvD • 5 januari 2018 23:16

Hoe stel je die in via mycloud.com en daar kun je vanaf de hele wereld aan? Dan ben je wrs gedoemd

Ossebol @Damic • 6 januari 2018 09:44

Ik betwijfel of dit zo werkt (nog niet kunnen testen btw), maar voor een MyCloud-koppeling moet je een apart account aanmaken en die in het administratiepaneel van de nas apart authorizeren. Er zijn dus tenminste twee stappen voor nodig om binnen te komen. Volgens mij hebben de hardcoded user en wachtwoord alleen betrekking op het administratiepaneel van de nas zelf, en daar kom je alleen maar bij met netwerktoegang. Maar correct me if I am wrong ofc.

Sfynx 5 januari 2018 22:22

Het is sowieso een goed gebruik om dit soort dingen achter een goede VPN te hangen als je er van buitenaf bij wil, dit incident toont dat goed aan.

Bartallstar @Sfynx • 5 januari 2018 22:35

Wat versta jij onder een goede vpn? Persoonlijk gebruik ik Openvpn wat op een pine64 draait..

supersnathan94

@Bartallstar • 5 januari 2018 23:24

Iedere extra laag is beter dan niets. Ik gebruik zelf een IPsec tunnel die in een los subnet uitkomt. Daarbinnen kan ik dan via andere manieren weer in het hoofdnetwerk komen, maar die ga ik hier uiteraard niet zomaar uitleggen.

d32 5 januari 2018 22:50

Serieus bijna alle nas devices zijn via shodan te vinden en bevatten vaak altijd standaard wachtwoorden (standaard fabrieksinstellingen). Daar zou ook eens een einde aangemaakt moeten worden. Device moet niet te gebruiken zijn zonder eigen gekozen username en wachtwoord.

[Reactie gewijzigd door d32 op 23 juli 2024 20:09]

Helium-3

6 januari 2018 00:02

Ik vraag me soms toch echt af hoelang dit soort lekken (hardcoded logins) zullen blijven bestaan. En dan bedoel ik niet dat programmeurs van de toekomst niet meer vergeten om debugging functies weg te halen, maar ik denk dat programmeren over 20 jaar heel anders eruit zal zien. Nog wel met code geschreven door mensen, maar bijvoorbeeld heel sterk geassisteerd door computers en waarbij computers de code controleren, optimaliseren en compileren op een efficiënte en veilige manier waarbij dit soort gevaarlijke debugging functies direct gedetecteerd zullen worden.

DaveFlash 6 januari 2018 00:08

hoe zit dit met de nieuwe My Cloud Home van WD?

Heb zojuist hier 2 van draaien als tijdelijke opslag tot m'n iMac Pro met Promise Pegasus3 R8 raid unit (48TB) binnenkomt, welke gelukkig géén NAS is en tevens enkel lokaal over Thunderbolt 3 op USB-C loopt (direct aan de iMac) en daarmee een veel snellere doorvoor heeft... 40Gb/s!

Dus mijn vraag, hoe veilig zijn de Home edities van de MyCloud?
Ik heb trouwens wel in mijn router e.e.a geblokkeerd en UPnP staat sowieso uit.
Maar of dit alle mogelijke wegen naar de NAS afsluit is maar de vraag.

[Reactie gewijzigd door DaveFlash op 23 juli 2024 20:09]

Ossebol @DaveFlash • 6 januari 2018 09:47

Die zijn tot dusver bekend nog veilig. Ik raad je aan wel tweestapsverificatie aan te zetten (dat zit er bij de oude modellen waar het nu om gaat, niet op).

Tafelpoowt @DaveFlash • 6 januari 2018 15:01

Dat is een compleet nieuw project gebaseerd op Android M.
In dit artikel gaat het over debian gebaseerd producten.

De WD MyCloud Home is heel wat veiliger omdat Android veel beter user policies heeft. De debian systemen draaien echter alles als root...

DaveFlash @Tafelpoowt • 7 januari 2018 00:01

top, en waar zet ik 2 factor/ 2 stap verificatie aan, want dat heb ik tot op heden nog niet terug gevonden....??

Tafelpoowt @DaveFlash • 7 januari 2018 11:33

Ik heb zelf geen MyCloud Home device thuis dus daar heb ik geen antwoord op.
Ik ken het platform omdat ik er enkele apps voor geport heb: nzbget, transmission en cuberite. Ze komen hopelijk gauw in de WD app store.

DaveFlash @Tafelpoowt • 7 januari 2018 11:39

oke, alvast bedankt, maar ik vroeg het eigenlijk aan @Ossebol ... want in de online omgeving home.mycloud.com is het niet terug te vinden, zal eens in de app kijken...

[Reactie gewijzigd door DaveFlash op 23 juli 2024 20:09]

B152 6 januari 2018 00:09

Heb zelf een EX2 in mijn bezit gehad. Deze heb ik redelijk vlot weer verkocht door matige functionaliteit van het apparaat. Op het oog zag die er goed uit, de softwarelaag in eerste instantie ook maar viel achteraf erg tegen. Daarnaast is de standaard temperatuur z'n dikke 40 graden. WD is zelf ook niet echt een actieve partij en heeft weinig met feedback uit de community (naar mijn idee). Voor een nas zou ik toch even verder kijken dan WD.

i7 930 6 januari 2018 01:16

Wordt een keer tijd dat fabrikanten een policy kenbaar maken aan de consument, welke diensten, als updates, worden ondersteund en voor welke periode. Als ze hierin duidelijk zijn komt alles goed. Vereiste van de consumentenkant is wel dat het apparaat geregistreerd wordt met gegevens waarop de consument bereikbaar is. Telefoon/Email etc..
Zo kunnen ze ook iedereen informeren.
Dan is zowel de fabrikant als consumerende partij geholpen, iedereen tevreden. Klant geen exploits e.d. Retail en fabrikant een tevreden klant.

[Reactie gewijzigd door i7 930 op 23 juli 2024 20:09]

90710 @i7 930 • 6 januari 2018 11:07

Vereiste van de consumentenkant is wel dat het apparaat geregistreerd wordt met gegevens waarop de consument bereikbaar is. Telefoon/Email etc..

En dan lekt dit bij bedrijf X uit en heb je een gigantisch datalek. Nee, lekker idee!

Op dit item kan niet meer gereageerd worden.

'WD My Cloud-nassystemen zijn kwetsbaar door voorgeprogrammeerde login'

Lees meer

Reacties (78)

Sorteer op:

Weergave: