Western Digital: koppel WD My Book Live los om gegevensverlies te voorkomen

Western Digital raadt gebruikers van de WD My Book Live en WD My Book Live Duo aan om die los te koppelen van internet, om gegevensverlies te voorkomen. Verschillende gebruikers van die apparaten zijn al hun data kwijtgeraakt. WD zegt het probleem te onderzoeken.

In een forumpost schrijft Western Digital dat het bedrijf heeft vastgesteld dat sommige My Book Live-apparaten zijn gecompromitteerd door kwaadaardige software. Daardoor zouden de harde schijven met internetverbinding teruggezet zijn naar de fabrieksinstellingen en is alle data verwijderd. De My Book Live en My Book Live Duo kregen hun laatste firmware-update in 2015, meldt WD.

De fabrikant komt met de waarschuwing nadat gebruikers op het forum lieten weten dat alle data van hun My Book Live-apparaat is verdwenen. Zo schrijft een gebruiker dat zijn hdd opeens leeg was en dat hij niet meer in kan loggen om de interface te bereiken, omdat het wachtwoord onbekend is. Verschillende andere gebruikers melden vergelijkbare problemen; zij zijn ook al hun data kwijt.

Diverse gebruikers zeggen dat het dataverlies samenhing met een ongewenste factory reset van hun apparaat. Een gebruiker toont een log waarin te zien is dat de fabrieksreset werd uitgevoerd. Volgens de gebruiker was er op dat moment echter niemand in huis aanwezig.

In een verklaring tegenover Ars Technica zegt WD dat er geen aanwijzingen zijn dat het bedrijf zelf slachtoffer is van een aanval of datalek. De fabrikant van de externe harde schijven denkt dat gebruikers van de My Book Live-apparaten doelwit zijn van een aanval, maar het is niet duidelijk wat er precies aan de hand is. WD benadrukt in het statement nog eens dat de laatste firmware-update uit 2015 stamt. Het bedrijf zegt de problemen te onderzoeken en zijn site te updaten als er nieuwe informatie is.

De WD My Book Live-apparaten zijn externe harde schijven met een netwerkaansluiting. De externe hdd's werden sinds 2010 verkocht. De Duo-versie is een variant met twee hdd's. Andere My Book-apparaten, die geen internetverbindinghebben, zijn niet getroffen.

Update: De problemen hebben zoals FeronIT opmerkt te maken met een kwetsbaarheid die sinds 2018 bekend is en die door WD niet is opgelost, omdat volgens de fabrikant de ondersteuningsperiode voor de hardware voorbij is. Op zijn website bevestigt WD dat het gaat om rce-kwetsbaarheid CVE-2018-18472. Die kwetsbaarheid kan misbruikt worden door iedereen die het ip-adres van het betreffende apparaat kan achterhalen.


Jun 23 15:14:05 MyBookLive factoryRestore.sh: begin script:
Jun 23 15:14:05 MyBookLive shutdown[24582]: shutting down for system reboot
Jun 23 16:02:26 MyBookLive S15mountDataVolume.sh: begin script: start
Jun 23 16:02:29 MyBookLive _: pkg: wd-nas
Jun 23 16:02:30 MyBookLive _: pkg: networking-general
Jun 23 16:02:30 MyBookLive _: pkg: apache-php-webdav
Jun 23 16:02:31 MyBookLive _: pkg: date-time
Jun 23 16:02:31 MyBookLive _: pkg: alerts
Jun 23 16:02:31 MyBookLive logger: hostname=MyBookLive
Jun 23 16:02:32 MyBookLive _: pkg: admin-rest-api


Log van gebruiker die zijn data kwijt is

Door Julian Huijbregts

Nieuwsredacteur

25-06-2021 • 08:31

142 Linkedin

Submitter: T-Junkie

Reacties (142)

142
141
56
13
2
59
Wijzig sortering
Er is waarschijnlijk gebruik gemaakt van een 3 jaar oud lek in de firmware https://nvd.nist.gov/vuln/detail/CVE-2018-18472 waarvan WD weigerde om het te dichten omdat deze devices EOL zijn. Discussie op HN https://news.ycombinator.com/item?id=27624735
Een CVSS van 9.8 Critical (yaiks!) die op een (t.t.v het lek in 2019) dus uiterlijk 9 jaar oud en minimaal misschien maar 1, 2, 3 jaar oud apparaat niet meer gerepareerd wordt. Het doet mij als informatiebeveiliger wel pijn hoor.

Natuurlijk begrijp ik dat er financiële consequenties zijn om een product tot in lengte der dagen te ondersteunen. En er valt misschien wel iets te zeggen over dat een apparaat dat in 2010 geïntroduceerd is in 2019 niet meer door hele volksstammen uit de schappen wordt gesleurd. Aan de andere kant worden producten járen na de introductiedatum verkocht en zijn ze hardwarematig in staat een veelvoud van die tijd mee te gaan. Iemand die in 2017 dacht "mooie schijf voor een mooie prijs" weet niet dat hij werkt met software van 2 jaar oud die nooit meer beter, sneller en veiliger gaat worden.

Er komt geen terugroepactie, geen "lever-in-en-vervang"-actie en geen actieve waarschuwing naar de gebruikers. En je bent als back-upbewuste maar onvoldoende technische persoon overgeleverd aan de gratie van de hackers die het product links laten liggen.

Microsoft en Apple tonen zich afgelopen jaren gul op dit gebied:
- nieuws: Apple repareert opnieuw zerodays in iOS 12 voor oudere iPhones en iPads
De bugfixes zitten in iOS 12.5.4, dat beschikbaar is voor oude Apple-apparaten die het huidige iOS 14 niet meer kunnen draaien. Dat zijn de iPhone 5s, iPhone 6 en 6Plus, de tablets iPad Air en iPad mini 2 en 3, en de iPod Touch 6 Gen.
- nieuws: Microsoft komt met patch voor Windows 7 en XP om 'nieuwe WannaCry' te...
Het lek zit alleen in oudere versies van Windows. Het gaat specifiek om Windows XP en Windows 7, en om Windows Server 2003, 2008, en 2008 R2. Het modernere Windows 8 en Windows 10 blijven buiten schot. Windows XP krijgt al sinds 2014 geen beveiligingsupdates meer, maar vanwege de ernst van het lek maakt Microsoft nu een uitzondering.
Hoewel ook dit echt uitzonderingen zijn, nemen de bedrijven wel verantwoordelijkheid. Ze beseffen zich de ernst van het probleem, bij benadering het gebruik van de software en apparaten en nemen passende maatregelen. En dat bovenop de al zeer lange supporttermijn die aanvankelijk is gegeven (XP: 2001 - 2014, iOS 7t/m12; 2013 - 2020).

[Reactie gewijzigd door Eagle Creek op 25 juni 2021 09:58]

Ik denk dat de managers welke de beslissing genomen hebben om geen patch uit te brengen voor zo’n kritische CVE zich nu toch wel achter de oren krabben.

Dit gaat WD minimaal een class action lawsuit en reputatie schade opleveren.
Deze kan toegevoegd worden aan het lijstje van "moah hadden we anders moeten aanpakken".

Denk aan de hdd's die verkocht werden als ideaal voor in NAS met RAID, terwijl ze SMR gebruiken en dat niet kenbaar maken aan de klanten.
Pas nadat ze er niet meer omheen konden is er actie ondernomen, maar toen waren gebruikers al data (en veel tijd) kwijt.

Dit lijkt heel erg gecalculeerd een afweging te zijn tussen kosten om de klanten te waarschuwen of een fix uitbrengen tegenover het risico te nemen dat klanten massaal data kwijtraken.

Met zo'n bedrijf wil je toch geen zaken meer doen?
Ik niet in elk geval.
Is er geen wettelijke verplichting voor beveiligings ondersteuning?
Dat er op een gegeven moment geen nieuwe feature ontwikkeling meer plaatsvindt snap ik.
Maar security patches lijkt me het minste wat er geboden kan worden.
WD bevestigt inderdaad dat het om die kwetsbaarheid gaat. Update toegevoegd :)
Toch eens tijd om fabrikanten te verplichten om alle benodigde resources voor verder onderhoud gratis te releasen zodra ze de ondersteuning voor een (online) product beëindigen. Dan had de community het kunnen fixen als daar genoeg belangstelling voor zou zijn geweest.

Nu bepaald de fabrikant letterlijk wanneer jouw gekochte product niet meer gebruikt zou kunnen/mogen worden.
Of wordt het tijd dat mensen een keer snappen dat beveiliging serieus genomen moet worden en ze geen oude / onveilige apparaten meer aan het internet moeten knopen?

Ik weet verder niet in welke wereld je leeft maar 'gratis' problemen oplossen werkt alleen in de open-source wereld. Je kunt niet verwachten dat een commercieel bedrijf alles maar tot oneindig blijft ondersteunen.

Ik denk dat we het helemaal anders moeten aanpakken. Bijvoorbeeld een wetgeving (EU) die verplicht dat fabrikanten bij EOL van hun producten alle internet functionaliteit uitschakelen zodat het apparaat enkel nog lokaal gebruikt kan worden. Dat is met een simpele firewall regel al te realiseren. Als de fabrikant daarnaast ook meerdere waarschuwingen heeft afgegeven dan moet het prima zijn. Je kunt niet iets eeuwig blijven ondersteunen.
Je hebt updates en je hebt updates. Een NAS hoeft maar één ding te doen, data veilig aan het netwerk aanbieden. Dat ze niet de nieuwste flashy interface porten naar deze apparaten of dat ze geen IPv6-compatibiliteitsproblemen oplossen is tot daaraan toe, maar een RCE die zonder enige authenticatie of andere toegang mogelijk is, zouden ze gewoon moeten oplossen vind ik. Ze hoeven er van mij niet eens actief naar te speuren zodra een apparaat EoL gaat.

De exploit zelf is zo triviaal dat iedere ontwikkelaar met een greintje kennis hem zou moeten kunnen voorkomen: command injection direct vanaf de URL. Dit is zo triviaal te voorkomen dat ik de firmware als defect zou beschouwen.

curl -kX GET -d ‘bim=param`whoami`’ https:///panel/rest/configuration

Internetfunctionaliteit na EoL uitschakelen zorgt voor andere problemen, dat maakt het letterlijke planned obsolescence. Na twee jaar verdwijnt ieder apparaat op de vuilnisbelt en we weten hopelijk allemaal nu wel dat de meeste consumenten geen drol geven om dat soort dingen, men koopt tenslotte nog steeds iedere twee jaar een nieuwe smartphone.

Wat ik liever zou zien is dat bedrijven die besluiten hun software niet meer bij te werken verplicht worden om de broncode ervan openbaar te maken inclusief de nodige sleutels om de software zelf bij te werken. Zo hoeven ze hun spul niet te ondersteunen, maar kunnen de bijbehorende problemen alsnog worden gerepareerd door hun klanten. Het wordt zo ook duurder om apparaten met software op de markt te dumpen om er nooit meer naar om te kijken.

Wie weet zouden de Western Digitals en D-Links dan eindelijk een keer competente routers gaan maken, aangezien ze dan zelf risico lopen als ze hun troep niet onderhouden.

[Reactie gewijzigd door GertMenkel op 25 juni 2021 10:23]

Je hebt updates en je hebt updates.. :?

Ze hoeven er van mij niet eens actief naar te speuren zodra een apparaat EoL gaat.
Maar dit apparaat is al heel erg lang EOL. Het kwam uit in 2010, laatste firmware was 2015 en in 2017 al EOL. Laatst ondersteunde OS was Windows 8.....
https://support-en.wd.com/app/products/product-detail/p/231

Ik snap niet dat er mensen zijn die denken dat bedrijven maar dingen voor niets gaan doen.. Welke wereld leef je dan? Ga jij ook naar je werk om je baas te horen zeggen: Hey GertMenkel, vandaag moet je even een security bug fixen. Je krijgt er niet voor betaald, even lekker in eigen vrije tijd....
Dat er bedrijven zijn die dat wel doen: Tof... Maar verwachten dat iedereen dat zomaar gaat doen: raar.....

Wie weet zouden de Western Digitals en D-Links dan eindelijk een keer competente routers gaan maken, aangezien ze dan zelf risico lopen als ze hun troep niet onderhouden.
Mensen moeten die troep gewoon niet kopen. Maar ik ga niet lopen klagen als mensen hun geld dom uitgeven, dat is hun eigen zaak. We leven in een vrije maatschappij...
Vrije tijd? Het is een bedrijf dat geld verdient met deze producten, die nog steeds nieuw online te krijgen zijn overigens. Moeten we nu die schijven maar naar de vuilstort brengen omdat WD hun zaken niet op orde heeft?

Als je software op de markt brengt, heb je naar mijn mening de plicht om deze redelijke tijd na het eind van de verkoop te onderhouden. Tien jaar voor een backupschijf vind ik helemaal geen onredelijke termijn, aangezien het apparaat voor backups maar periodiek gebruikt hoeft te worden en zo makkelijk twintig jaar meegaat. Zelfs daarna vind ik dat de apparaten nog gewoon bruikbaar moeten zijn, dan zetten ze maar een update klaar die de functionaliteit tot het minimum beperkt zodat het aanvalsrisico geminimaliseerd wordt.

En ja, ik zou hier graag gewoon Debian of Alpine op pleuren om er alsnog een nuttige NAS van te kunnen maken. Dat spul wordt gewoon regelmatig bijgewerkt. Als WD geen software wil leveren, zie ik niet waarom ze me dan niet de optie geven er zelf wat op te zetten.
Mensen moeten die troep gewoon niet kopen. Maar ik ga niet lopen klagen als mensen hun geld dom uitgeven, dat is hun eigen zaak. We leven in een vrije maatschappij...
Dan ben ik benieuwd, welk consumentenmerk geeft wel van tevoren aan in de langetermijn updates te leveren? Ik heb er laatst op gezocht, volgens forums geeft Netgear waarschijnlijk lange support op bepaalde dure modellen, maar die garantie heb je niet. En nee, Ubiquity is geen optie voor de gemiddelde consument. Routerboard ook niet. Hetzelfde geldt voor de meeste NAS-merken. Synologie geeft vijf jaar garantie op de hardware, maar over de software wordt weinig beloofd.

Je kunt de consument en de markt niet de schuld geven als er geen aanbod van goede alternatieven is. We hebben de markt de kans gegeven, die heeft niet gehandeld, dus moeten we maar gaan reguleren.

[Reactie gewijzigd door GertMenkel op 25 juni 2021 12:48]

[...]

Ik snap niet dat er mensen zijn die denken dat bedrijven maar dingen voor niets gaan doen.. Welke wereld leef je dan? Ga jij ook naar je werk om je baas te horen zeggen: Hey GertMenkel, vandaag moet je even een security bug fixen. Je krijgt er niet voor betaald, even lekker in eigen vrije tijd....
Dat er bedrijven zijn die dat wel doen: Tof... Maar verwachten dat iedereen dat zomaar gaat doen: raar.....
Niemand verwacht dat bedrijven dingen voor niks gaan doen. Maar als je een product koopt verwacht je dat het af is. Blijkbaar is het normaal geworden om ernsitge securitybevindingen te vinden op apparaten en software die gewoon in productie is.

Dat is helemaal niet normaal, als een bedrijf een apparaat verkoopt dan moet het gewoon goed werken (en dus geen ernstige securitybevindingen hebben). En mochten er achteraf toch ernstige bevindingen worden gedaan, dan moeten de klanten eigenlijk hun geld terugkrijgen, want ze hebben al die tijd geen conform product gehad, maar daar wel voor betaald.

Als dat de setting is, dan wordt het ineens toch wel interessant voor bedrijven om die bevindingen (die er in de eerste plaats nooit in hadden mogen zitten!) toch maar te fixen, ook op hardware die ze als EOL beschouwen, want straks moeten ze die klanten allemaal gaan terugbetalen...
Ik snap niet dat er mensen zijn die denken dat bedrijven maar dingen voor niets gaan doen.. Welke wereld leef je dan? Ga jij ook naar je werk om je baas te horen zeggen: Hey GertMenkel, vandaag moet je even een security bug fixen. Je krijgt er niet voor betaald, even lekker in eigen vrije tijd....
In sommige beroepen werkt dat wel zo. Politie-agenten bijv. zeggen zelf dat ze 24 uur agent zijn, dus óók buiten de diensturen. En in dit geval gaat het, als we de vergelijking even doortrekken, niet om een auto met een lekke band waarbij de politie even assisteert maar om hulp bij het zoeken naar en aanhouden van inbrekers na een brute inbraak (data weg middels een lek = immers een soort inbraak), ook al is dat in hun vrije tijd en dus onbetaald. Dus ja, dan verwacht ik inderdaad dat WD even ‘helpt’ door het lek te zoeken en op te lossen, ook al is dat onbetaald.
Hmmm, volgens mij moeten we met z'n allen eens gaan snappen dat een hybride software/hardware product gewoon fundamenteel iets anders is dan een hardware product.
Een sec hardwareproduct kan prima met de huidige garantieregels ondersteund worden, maar een product dat ook een softwarematige kant bevat (en dan bedoel ik dus ook microcode, op-code, antennefirmware, enz.) moet je anders benaderen; het is namelijk nooit helemaal af in de betekenis van dat er altijd foutjes en fouten in gevonden kunnen blijven worden die opgelost moeten worden om het product veilig te laten blijven.

(Nu ik dit type denk ik ineens aan terugroepacties van autofabrikanten bij auto's van al 5+ jaar oud met een falende airbag of zo.)

Het softwaregedeelte van een product zou m.i. gewoon gedurende de normale levensduur van het product ondersteuning moeten ontvangen op in ieder geval beveiliging en basisfunctionaliteit - en dan niet gerekend vanaf introductie van het product, maar vanaf een jaar na beëinigen van de productie ervan. zo'n genoemde usb-schijf wordt vaak jarenlang gebruikt en zou dus ook gewoon een patch moeten krijgen wanneer er een fundamentele fout in gevonden wordt, precies zoals bij auto's ook het geval is.

En voordat je begint over het monetaire aspect: natuurlijk moet hiervoor betaald worden, maar dat had je in eerste instantie al in rekening gebracht moeten worden door de leverancier die dit deel van z'n product serieus genomen had moeten hebben.
Men moet de kosten van noodpatches na de EOL gewoon verdisconteren in de prijs van het apparaat. Er staat voor klanten te veel op het spel om te zeggen dat iets EOL is en dat er geen enkele patch meer wordt uitgebracht.
IT-ers weten wat het betekent als iets EOL is maar voor de meeste gebruikers is iets EOL als het niet meer werkt. Je kunt niet van iedereen verwachten dat ze IT-risico's kunnen inschatten als ze zo'n product kopen.
Men moet de kosten van noodpatches na de EOL gewoon verdisconteren in de prijs van het apparaat.
Het hele punt met deze apparaten is dat ze goedkoop zijn. Dat is hun hele verkoopmodel. Heb je ooit iemand zo'n ding aan zien raden? Als je iets goeds wilt, dan kiest met Synology of Qnap.

Er staat voor klanten te veel op het spel om te zeggen dat iets EOL is en dat er geen enkele patch meer wordt uitgebracht.
En wanneer houdt de ondersteuning dan op? Nooit? Over 25 jaar? Deze dingen zijn in 2015 al EOL gegaan. Ga je dan ook klagen over Windows 7? Want die krijgt ook al lange tijd geen (security) updates meer.

Je kunt niet van iedereen verwachten dat ze IT-risico's kunnen inschatten als ze zo'n product kopen.
Nee, uiteraard niet. Maar is dat dan de verantwoordelijkheid van de fabrikant? Moet hij er een cursus bij verkopen?
Je hebt hier gewoon europese garantie regelgeving voor. En ze voldoen daar aan. Ik snap niet dat mensen dan meer verwachten van een product dat toch al als 'budget' gezien wordt. Zeker niet met smartphones die al naar 2 jaar geen updates meer ontvangen..
Het hele punt met deze apparaten is dat ze goedkoop zijn. Dat is hun hele verkoopmodel. Heb je ooit iemand zo'n ding aan zien raden? Als je iets goeds wilt, dan kiest met Synology of Qnap.
Zelfs Synology niet (hebben ze de afgelopen paar jaar bewezen), QNAP krijgt voorlopig het voordeel van de twijfel.
En wanneer houdt de ondersteuning dan op? Nooit? Over 25 jaar? Deze dingen zijn in 2015 al EOL gegaan.
Als je het product verkoopt van 2010 [url=https://maxict.nl/western-digital-my-book-live-2tb-externe-harde-schijf-2000-gb-zwart-p2853449.html?btwview=in]tot in 2021[/quote] dan is het niet 2015 EOL gegaan. (dank voor de link aan @GertMenkel )

Dat geld dus ook voor een smartphone. Is die in januari 2020 officieel geïntroduceerd, in april 2020 voor het eerst echt verkocht, en op de markt tot december 2021, dan moet je dus ondersteuning leveren tot x jaar na december 2021, en niet zeggen, 3 jaar na introductie stopt de ondersteuning. En ja, dat betekent, dat als je 3 jaar support wilt leveren vanaf het moment dat de verkoop stopt, dat je dus alle niet verkochte exemplaren terug zal moeten halen Dat geldt dus ook voor Samsung en Apple.
Ga je dan ook klagen over Windows 7? Want die krijgt ook al lange tijd geen (security) updates meer.
Microsoft geeft voor Windows in ieder geval duidelijk aan tot wanneer de ondersteuning loopt. en laat die doorlopen lang nadat de verkoop is gestopt. Om bij jouw voorbeeld te blijven:
Windows 7 is geïntroduceerd op 22 oktober 2009. De opvolger, Windows 8 kwam uit 26 oktober 2012.
De verkoop van Windows 7 stopte
- via retail voor consumenten en bedrijven op 31 oktober 2013
- via OEM-verkoop voor consumenten op 31 oktober 2014 en voor bedrijven op 31 oktober 2016, maar
a) toen was Windows 10 al ruim een jaar op de markt,
b) was er nauwelijks nog een device met Windows 7 verkrijgbaar en
c) was het voor bedrijven alleen nog beschikbaar via downgrade- of volumelicenties.
De support voor Windows 7 eindigde volledig op 14 januari 2020.

https://answers.microsoft...b0-4647-9f60-4bace6880a04
https://docs.microsoft.com/en-gb/lifecycle/faq/windows
https://nl.hardware.info/...p-windows-7-en-windows-81

Ik heb in het verleden veel kritiek geleverd op Microsoft, en sta nog steeds volledig achter die kritiek, maar op dit punt is dat niet het geval. En ja, als Windows 7 of Windows XP of zelfs Windows 2000 inderdaad nog steeds ondersteund zouden worden, in de zin dat het onderhuids zou zijn bijgewerkt (dus ook support voor S-ATA en NVME in windows 2000, beveiliging up to date, dan zou ik dat zeker positief waarderen en het misschien zelfs nog gebruiken.
Nee, uiteraard niet. Maar is dat dan de verantwoordelijkheid van de fabrikant? Moet hij er een cursus bij verkopen?
Nee, maar het moet iedereen duidelijk zijn wat ze kopen.
Je hebt hier gewoon europese garantie regelgeving voor. En ze voldoen daar aan.
Nee, daar voldoen ze niet aan. De Europese regelgeving stelt dat garantie MINIMAAL is tot 2 jaar NA VERKOOP, en vele landen, waaronder Nederland hebben zelfs strengere regels.
En dan nog vind ik de levensduur die "Techniek Nederland", voorheen UNETO-VNI hanteert, heel vaak te kort (economische levensduur terwijl de technische meestal vele malen langer is). Ik heb electronica in gebruik die dateren van de jaren 90 en 80, en dat betreft grotendeel spul dat niet verouderd is, en dat ook nooit zal zijn.
Ik snap niet dat mensen dan meer verwachten van een product dat toch al als 'budget' gezien wordt. Zeker niet met smartphones die al naar 2 jaar geen updates meer ontvangen..
Dat is maar net wat je budget noemt. Wat die smartphones betreft, de meeste krijgen zelfs nooit updates, hier is gewoon sprake van machtsmisbruik van de fabrikanten.
Nee, daar voldoen ze niet aan. De Europese regelgeving stelt dat garantie MINIMAAL is tot 2 jaar NA VERKOOP, en vele landen, waaronder Nederland hebben zelfs strengere regels.
Hou er wel rekening mee dat dit alleen van toepassing op de verkoop aan de consument, dus enkel wanneer WD direct aan de consument verkoopt. Voor B2B verkopen (denk aan WD > distributeur of distributeur aan winkelketen) zijn dit soort zaken normaliter niet van toepassing en mogen deze partijen zelf afspreken wat voor afspraken ze maken omtrent garantie. Daarbij mag zelfs geen garantie worden afgesproken, iets wat B2B regelmatig gebeurt om extra kortingen te bedingen door o.a. retailers.

Tenzij WD deze schijven op dit moment nog direct aan consumenten verkoopt kunnen zij dus prima voldoen aan de Europese wetgeving. Als Max ICT deze schijven momenteel nog verkoopt, kan het inderdaad zijn dat zij niet voldoen aan deze wetgeving, maar dat is dan iets tussen de consument en Max ICT.
Als je het product verkoopt van 2010 [url=https://maxict.nl/western-digital-my-book-live-2tb-externe-harde-schijf-2000-gb-zwart-p2853449.html?btwview=in]tot in 2021 dan is het niet 2015 EOL gegaan. (dank voor de link aan @GertMenkel )
Dat toevallig een winkelier het product nog verkoopt betekent niet dat dit product niet niet EoL is gegaan in 2015 bij de fabrikant. Die zaken zijn niet verweven met elkaar. Een retailer kan bijvoorbeeld best een oude rest partij hebben opgekocht bij een handelaar of distributeur. En deze mag hij ook best verkopen, ook als het product al jaren EoL is bij de fabrikant.
En ja, dat betekent, dat als je 3 jaar support wilt leveren vanaf het moment dat de verkoop stopt, dat je dus alle niet verkochte exemplaren terug zal moeten halen Dat geldt dus ook voor Samsung en Apple.
Een verplichting als deze bestaat voor zover ik weet niet in onze, of de overkoepelende EU wetgeving.
Zou je eens kunnen linken naar het artikel?

[Reactie gewijzigd door Dennism op 25 juni 2021 23:17]

De vraag is of een fabrikant zijn verantwoordelijkheid zou mogen ontlopen door producten goedkoop aan te bieden. Allerlei producten moeten voldoen aan veiligheid en dan mag het verkoopmodel nooit een argument zijn om concessies te doen aan veiligheid. Dat zou oojk moeten gelden voor netwerkapparatuur.

Voor windows XP en 7 zijn ook nog kritieke patches uitgekomen ondanks dat de extended support al een jaar verlopen was. Als het zeer kritiek is moet je als leverancier gewoon je verantwoordelijkheid nemen.

En ja, de veiligheid van een product is de verantwoordelijkheid van de fabrikant. Dat heeft helemaal niets met een garantieperiode te maken.
De vraag is of een fabrikant zijn verantwoordelijkheid zou mogen ontlopen door producten goedkoop aan te bieden. Allerlei producten moeten voldoen aan veiligheid en dan mag het verkoopmodel nooit een argument zijn om concessies te doen aan veiligheid. Dat zou oojk moeten gelden voor netwerkapparatuur.

Het hele punt is juist dat niemand zijn verantwoordelijk hier ontloopt. WD heeft gewoon prima voldaan aan de garantietermijn en nog zeggen mensen hier dat het raar is.. Ze hebben niets misdaan.. Dat is toch bizar?

Voor windows XP en 7 zijn ook nog kritieke patches uitgekomen ondanks dat de extended support al een jaar verlopen was. Als het zeer kritiek is moet je als leverancier gewoon je verantwoordelijkheid nemen.
Nee, die patches waren er al. Die zijn betaald door de Extended support klanten (je weet wel, onze overheid met ons belastinggeld). Dat Microsoft enkele patches heeft vrijgegeven heeft ze helemaal niets gekocht want ze hadden de patches al op de plank liggen. Betaalt door ons zelf en ook nog een 'dank-je-wel' krijgen. Een mooiere businesscase kan ik niet maken... Windows 7 is trouwens daarmee nog steeds een volledig onveilig systeem. Waar zijn alle patches die niet publiekelijk zijn vrijgegeven?

Ik kan je garanderen dat Microsoft die patches echt niet had gemaakt als ze deze al niet klaar hadden. Ze maken immers ook geen patches voor oude Windows 10 releases:
https://docs.microsoft.co...ealth/release-information

En ja, de veiligheid van een product is de verantwoordelijkheid van de fabrikant. Dat heeft helemaal niets met een garantieperiode te maken.
Ik vind het zo enorm vaag dat mensen dit denken. Als dat echt zou zijn, wat denk je dat je dan gaat betalen voor spullen? Waarom is dat in geen enkel land dan wetgeving? Slijten componenten niet in de alternatieve dimensie waar je leeft (dat is een grap /s).

Ik wil niet beledigend overkomen maar ik snap simpelweg niet dat mensen zo ver van de realiteit kunnen staan? Niemand zal ooit oneindige garantie (want dat is wat men hier gewoon vraagt) kunnen geven....
De garantietermijn heeft helemaal NIETS te maken met de zorgplicht voor een veilig product. Garantie gaat over non-conformiteit. Dat staat helemaal los van het patchen van producten.
Jij kunt van alles vinden maar niet voor niets gaat er in 2022 in de EU een wet in die dit veel beter gaat regelen. Men vindt dus blijkbaar dat de fabrikanten hun verantwoordelijkheid ontlopen en dus wordt het nu per wet geregeld.
En wat betreft die windows patches. Die waren GEEN onderdeel van de extended support. Die zijn daarna nog uitgekomen en zaten niet in de patches van het extended support. Maar daar gaat het ook niet om.
Die patches waren van buiten de extended support, dus die vergelijking gaat niet op.

Maar zoals door bytemaster wordt aangegeven is er ook een zorgplicht. Stel dat we dit zouden doortrekken naar andere branches, dan zouden we ook raar staan op te kijken. “Beste dycell, u heeft een dodelijke ziekte en we geven u nog 5 jaar. Als u na die 5 jaar nog leeft, krijgt u geen zorg meer want 5 jaar is de eigenlijke EOL”. 8)7
Misschien moeten bedrijven eens gaan snappen dat duurzaamheid niet alleen bestaat uit zonnepanelen op het dak van je hoofdkantoor en EV-leasebakken voor het management. Die apparaten zijn rock-solid en met een kleine softwareaanpassing maakt ze weer veilig.
Naar mijn mening doelde @sleiN13 ook op het omzetten naar open source middels het beschikbaar stellen van de resources aan de.community na EOL van een product. Is zeker wat voor te zeggen.

Wat jij voorstelt lijkt mij niet wenselijk, ik bepaal zelf wanneer mijn producten wel of niet in meer of mindere mate gebruikt kunnen worden na EOL vanuit de fabrikant. Met jouw voorstel kun je een groot aantal tv's niet meer als smart tv gebruiken, lekker dan. Met voorstel van @sleiN13 kan dat wel en kies ik er alleen bewust voor niet voor de nieuwste features te gaan maar wel gewoon de functionaliteit te behouden van een EOL product.
Precies wat ik bedoelde.

Daarnaast kan je als bedrijf wat mij betreft er ook voor kiezen om de oude producten te vervangen voor nieuwe met minimaal dezelfde functionaliteit. Als dat je IP beter beschermd en je support kosten verlaagt.
Verplicht in ieder geval een waarschuwing op de doos of in garantie dat het product hoogstens.... jaar vanaf..... wordt ondersteunt
Ik zie het nieuws over de rechtszaken wel weer verschijnen.

Het wordt tijd dat software ondersteuning gelijk wordt aan de levensduur van het apparaat. Hoe lang dat is, laat ik over aan de experts. Maar in een maatschappij waar wij de mond vol hebben over duurzaamheid, wordt dit een steeds heter hangijzer.
Het wordt tijd dat software ondersteuning gelijk wordt aan de levensduur van het apparaat.
Die wetgeving is er al en wordt actief uiterlijk op jan 2022. Dan moet de transpositie in nationale wetgeving van de nieuwe EU richtlijn 2019/771 inzake verkoop van goederen uiterlijk in gaan.

In deze nieuwe richtlijn wordt zgn embedded digital content - dwz digitale inhoud of online services die onlosmakelijk met een goed verbonden zijn - geacht inherent onderdeel van het goed te zijn en onder dezelfde conformiteitsbepalingen te vallen.

[Reactie gewijzigd door R4gnax op 25 juni 2021 10:41]

Ah! Das waar ook! Ik kan mij nog een eerder nieuwsbericht herinneren hier op Tweakers. Thanks for the heads-up! :)
Ik bezit zelf ook zo'n apparaat, en ben dus even op onderzoek uitgegaan:
Een simpele Shodan zoekopdracht levert nog 100k+ oude WD apparaten op die aan het internet hangen 8)7
Ik ben benieuwd hoeveel hiervan kwetsbaar zijn!
https://www.shodan.io/search?query="17a54-e1-4a40c24b13a40"

[Reactie gewijzigd door maie op 25 juni 2021 11:10]

Misschien een idee voor @Tweakers om EoL data op te nemen bij producten.
Het lijkt me ook vreemd dat een device die sinds 2015 al niet meer geupdate werd nog steeds aan het internet hangt. De kans op een vulnerability lijkt dan toch al vrij groot.
Bij wie de fout hier dan ligt is mij wel onduidelijk.
Een paar jaar terug (volgens mij 2, maar kan ook langer zijn) had WD mycloud al naar z'n gebruikers een mail gestuurd met dat cloud access voor heel wat apparaten (waaronder deze, want ik bezit er 1) niet meer wordt ondersteund en dat je deze het beste uit kon zetten via de web interface, want veiligheids risico.

Wellicht dat het probleem bij deze in die hoek gezocht moet worden, maar zeker weten doe ik dat niet.
De gemiddelde consument die zoiets koopt gaat er vanuit dat het apparaat ondersteund wordt zolang de levensduur is. Tenzij WD een waarschuwing heeft uitgestuurd kun je dit moeilijk de consument verwijten.
Het is kwalijke van WD om apparatuur dat aan internet gekoppeld staat niet te blijven voorzien van patches/upgrades
Dat je op gegeven moment stopt met nieuwe software features is begrijpelijk, maar security patches niet.
Erger nog deze externe HD wordt nog steeds verkocht volgens de Pricewatch vanaf 2011 t/m nu. Al lijken die shops geen voorraad te hebben. Maar deze disk (in 1tb en 3tb versie) is zeker tot november 2017 verkocht terwijl EOL in 2015 was.
Security patches ook, hoor.
Alleen veel later. Neem Cisco: die gooien voor hun apparatuur een End-of-Sale date online en dan staat dan meteen de de End-of-Life date en de End-of-Support date.

Dat weet je dus dat je nog een jaar of 3 à 5 verzekerd bent van security updates en dat het daarna afgelopen is. En zo hoort het.
Dat WD producten verkoopt ná de End-of-Life datum is verwerpelijk.
Alleen veel later. Neem Cisco: die gooien voor hun apparatuur een End-of-Sale date online en dan staat dan meteen de de End-of-Life date en de End-of-Support date.
Dat doet Cisco toch nog iets goed. Wel zit de NSA-patch er nog steeds in.
Precies. Ook met het oog op duurzaamheid.
En die CVE is al een tijdje aanwezig, kortom haal dat apparaat van het internet af.
Welke CVE? In het artikel word nergens over een CVE gesproken en WD geeft aan dat ze het nog onderzoeken. Dat zou betekenen dat het niet een bekend issue is.

Of ben je nu een vermoeden als feit aan het verkondigen?

[Reactie gewijzigd door mjtdevries op 25 juni 2021 09:16]

CVE-2018-18472
https://nvd.nist.gov/vuln/detail/CVE-2018-18472
https://www.westerndigita...booklive-wd-mybookliveduo
Op zijn website bevestigt WD dat het gaat om rce-kwetsbaarheid CVE-2018-18472. Die kwetsbaarheid kan misbruikt worden door iedereen die het ip-adres van het betreffende apparaat kan achterhalen.
Is later bijgevoegd in het artikel
Xtuv in 'nieuws: Western Digital: koppel WD My Book Live los om gegevensverli...

[Reactie gewijzigd door Christoxz op 25 juni 2021 09:26]

Bijgevoegd in het artikel net nadat ik mijn reactie had geschreven :)

Dat kan nog wel interessant worden. Dat WD nu bevestigd dat het die CVE is, terwijl ze zelf jaren geleden geweigerd hebben die te fixen omdat de devices end of life zijn.
Daar zal het laatste nog niet over gezegd zijn.
Dus ieder persoon moet weten wat een CVE is en dat ze dit voor al hun apparaten continu moeten monitoren ?

Beetje vreemd.
Ieder persoon die z'n apparaat direct aan internet koppelt zou dat eigenlijk wel moeten weten ja. Van de zotte dat fabrikantensystemen maken die met next-next-next online toegankelijk zijn en waar je cancel-cancel-next moet doen om relatief veilig alleen op je LAN te zitten en dan niet een mini-cursus online veiligheid meeleveren zodat de gebruiker er in ieder geval kennis van had kunnen nemen wat CVEs zijn en dat die zomaar uit het niets kunnen ontstaan en ze dus voor de hele gebruikstijd van het apparaat het fabrikantsnieuws in de gaten moeten houden om het product veilig te kunnen blijven gebruiken.
Mijn Synology DS214 uit 2013 ontvangt nog steeds updates, het kán dus wel.
Deze is in 2011 geintroduceerd. Is echter nog steeds te koop bij een paar webshops (slecht!).

[Reactie gewijzigd door Tassadar32 op 25 juni 2021 09:01]

Mijn DS uit 2011 ontvangt nog steeds updates, het kán dus wel.
Maar het is (helaas) eerder uitzondering dan de regel, voor wel meer dan alleen NAS devices.
Bedrijven moeten leren dat ze geen internet verbonden apparaten maken als ze deze niet willen updaten. Ik vind 5 jaar echt bizar kort voor een harde schijf. Je mag er toch wel vanuit gaan dat een harde schijf langer bruikbaar is? Zeker gezien die natuurlijk wel een aantal jaren te koop is geweest (en je hem zelfs nu nog bij een webshop kan kopen). En dan vind ik het nog net iets anders bij bijvoorbeeld ovens of wasmachines waar het met internet verbonden zijn een nice to have (of juist nice to not have) is, maar hier was het juist dé reden om dit apparaat te kopen ten opzichte van een normale harde schijf.
We kunnen die lijst nog wel aanvullen met TV's, tablets, telefoons, routers/AP's, slimme meters/apparatuur .. vrijwel allemaal hangen die aan het internet en gebruiken we ze (meestal) langer dan 5 jaar.

Veel zijn verbonden met de cloud, zodat echt loskoppelen vrijwel niet mogelijk is zonder het apparaat onbruikbaar te maken.

Het zou mooi zijn als fabrikanten 5 jaar+ security patches uitbrengen/de firmware of software opensource maken, maar dat zie ik helaas niet gebeuren.
Eens, al vind ik TV's dan in de andere categorie vallen. Ik sluit die überhaupt niet aan op het internet, liever een Android TV of Chromecast eraan koppelen. Tablets, telefoons, routers e.d. worden idd vrij nutteloos zonder internet.
Het is redelijk makkelijk op te lossen door te zeggen dat je vanaf dat of dat moment geen internet-functionaliteit meer hebt.

De grote vraag is welke functionaliteit je dan nog wel hebt voor je device.

Voor mij ook de reden om die hebbedingetjes niet aan te schaffen. Een android device/appletv kost je minder en kun je indien nodig na een tijdje weer vervangen zonder dat je een compleet toestel hoeft weg te gooien.
mijn Qnap van voor 2010 ontvangt ook nog steeds updates.. :P
WD heeft zijn assortiment uitgebreid van enkel harde schijven naar network storage en het lijkt alsof ze het er een beetje bij doen. Synology is in de kern een bedrijf dat network storage aanbiedt. Ik denk dat Synology daarom hun support veel beter op de rit hebben dan WD.
Zo'n apparaat zal niet direct aan internet hangen maar in een intern netwerk achter een firewall/nat. Blijkbaar maakt 'ie dus zelf een connectie naar internet welke vervolgens misbruikt kan worden.
Dat vraag ik me dus ook af....
M'n broertje heeft er een.
Deze heb ik voor m ingesteld. En een van de instellingen is dus GEEN WAN -> WD Live verbinding toestaan.
Het device kan je dus allen bereikt worden vanaf de LAN kant.
Het device zelf kan uiteraard wél naar de WAN ivm updates, tijd, enz.

Is dit nu een risico en moet ik in de firewall WD Live -> WAN ook blocken, of staat t al goed?

edit.
Uiteraard staat UPnP uit in de firewall. Die troep zou verboden moeten zijn.

[Reactie gewijzigd door HellStorm666 op 25 juni 2021 09:16]

Het device kan je dus allen bereikt worden vanaf de LAN kant.
Het is zelfs als WAN afgeschermd is en alleen van de LAN kant toegang mogelijk is, nog mogelijk dat je apparaat de das omgedaan wordt.

Het is al voldoende als je een klein stukje malware treft wat op een ander apparaat terecht is gekomen wat het als springboard kan gebruiken. Exploit-kit in een besmette app op je smartphone die op je WiFi netwerk zit, bijv.

[Reactie gewijzigd door R4gnax op 25 juni 2021 12:57]

Dus WD Live -> WAN ook blokkeren?
Nee. Beter het hele ding van je netwerk halen. Compleet.
Heb mijn eerdere post even herschreven zodat het verhaal hopelijk wat duidelijker is.
En dan een nieuwe NAS aanschaffen?
En dan een nieuwe NAS aanschaffen?
Dat, of nazoeken of er andere mitigaties mogelijk zijn op de bestaande NAS.
Maar in de tussentijd zeker eerst zorgen dat er geen netwerkverkeer heen kan.
En/of UPnP misschien?
Ik heb hem zelf nog in gebruik en doordat hij in het netwerk zit is hij ook automatisch met het internet verbonden hier. Dus ik ben blij met de melding en heb de kabel er voor nu even uitgetrokken.
Opzich eens, heb er ook een staan en die was uberhaupt al niet verbonden aan de online services van WD omdat ik het bij voorbaat al niet vertrouwde.
Vraag mij alleen af in hoeverre je dit kan verwachten van de gemiddelde thuisgebruiker die het kocht omdat je zo makkelijk foto's er op kon backuppen. Die zetten hem neer, stellen het via het appje in en laten het jaren staan.
Kijk hoeveel mensen gebruiken dit, daar is het merendeel zich niet bewust van lekken en updates etc. Dat is de realiteit. Er is nu eenmaal een groot verschil tussen realiteit en best practice. Jan modaal die dit kocht, zal dit nog altijd gebruiken. Ik heb dit hier ook staan. Maar toegang van buitenaf staat hier af. Dat heb ik nooit aangezet. En wat erop staat zal mij een worst wezen moest dat weg zijn. Onze echte belangrijke dingen staan op verschillende plaatsen. Natuurlijk zal dit voor velen een ramp zijn. Maar de meesten blijven dit wel gebruiken tot het niet meer werkt, niet omdat de fabrikang zegt dat dit EOL is
Wel netjes van WD om hier nog voor te waarschuwen bij zo'n oud device.
Zo oud zijn ze helemaal niet, een dergelijke hardeschijf mag echt wel langer mee gaan. Grote kans dat ze bijvoorbeeld alleen gebruikt worden om foto's en videos op te bewaren en dat ze bijna altijd ongebruikt ergens liggen.
Niet netjes van WD om een bekend lek jaren lang open te houden.
Dat was sarcastisch bedoeld, neem ik aan?
En hiermee is meteen bewijs geleverd dat je veel beter een simpele backupschijf kunt gebruiken als backup je doel is. Jack-of-all-trades-master-of-none zeg maar.

Als je data wil delen neem je een NAS (met updates uiteraard!) zoals een Synology.

[Reactie gewijzigd door [Yellow] op 25 juni 2021 14:12]

De fout ligt hier duidelijk nog steeds bij de dader.
Daar mag geen twijfel over bestaan.
Het is maar een paar kleine stapjes van dit issue naar `had je daar maar niet met een kort rokje moeten lopen'.
Oplossing: shuck de WD en stop de schijven in een entry level Synology of QNAP. De goedkoopste 2-bay op pricewatch zit rond de €160.
Van deze bedrijven kan je wel jarenlange support verwachten.
Goedkopere oplossing is om een nieuwere Debian versie met LTS kernel te installeren zoals hier beschreven.

Of OpenWrt https://openwrt.org/toh/western_digital/mybooklive dat is nog een slagje eenvoudiger.

(edit: OpenWrt toegevoegd)

[Reactie gewijzigd door synoniem op 25 juni 2021 10:47]

Eerder is het vreemd dat een global bedrijf geen updates meer aanbied voor nog goed functionerende hardware.
Wat is de noodzaak van updates als de hardware goed functioneert? Nu op dit moment blijkt dat de hardware niet goed functioneert, zal er vast wel een update volgen.
Dit lek was al jaren bekend en het gevaar ervan ook. Dan moet je als bedrijf gewoon je verantwoordelijkheid nemen en alsnog een update uitbrengen om enkel dat lek te dichten. Ook al is het EOL.
Op EOL hardware en software gaat echt geen update meer komen.

WD zegt in feite: heb je nog zo'n oud ding, internet eraf, data eraf, schijven eruit en de rest van het ding in de kliko. Koop maar een nieuwe NAS.
Moet wel bij gezegd worden dat zo'n WD Mybook live echt een hel is om uit elkaar te halen haha.
Het hoeft ook maar één keer :+
En de HDD-upgrades dan? Die van mij is van 1TB naar 4TB naar 8TB gegaan...
Bij de WD mybook live EOL dingen was upgraden dacht ik al niet mogelijk. Hij heeft t specifiek over de hardware om de HDD slopen en vervolgens in een nieuwere of andere NAS te proppen die wel uitbreiding ondersteunen! Haha
Wel dus. Je kunt een firmware-image downloaden en die via gparted naar de HDD schrijven en de data partitie uitbreiden naar de volledige capaciteit. Waar sommige andere NAS'sen de firmware in de hardware hebben staan, hebben MBL's deze op de HDD staan.
Goed om te weten. Maar is voor de "standaard gebruiker" niet echt een handig iets om te doen.
Dan is HDD er uit halen en in iets anders proppen wellicht de makkelijkste optie.
Ja en nee. Gezien het feit dat de firmware/os op de schijf staat, is de kans groot dat je je data er niet meer af krijgt in een ander apparaat.
Oeij. Oef. Binnenkort maar even mee puzzelen ná dat ik een kopie heb getrokken terwijl die nog intact is.
De hardware functioneert prima. De software (security) faalt.
Ik bezit zo'n ding. Volgens mij heb ik nog nooit zo snel in paniek achter de kast in gedoken om de netwerk kabel er uit te trekken na het lezen van een bericht!
Al een tijdje geleden had ik al een waarschuwing gekregen van WD (met m'n WD mycloud account) dat cloud support voor dit device niet meer ondersteund werd omdat het oudere software bevatte en niet meer geüpdate werd en dat ik het via de web interface uit moest zitten. Dit was zo'n 2 jaar terug. Had ik toen ook meteen gedaan.

Het is nu een puur 'offline' NAS apparaat dat alleen via mijn eigen netwerk toegankelijk is. Wellicht heeft dit vooralsnog geholpen dat ik geen slachtoffer ben. Maar voorlopig staat die helemaal niet verbonden met netwerk.

Maar dit geeft nu wel extra motivatie om toch maar een nieuwe te kopen... Dit ding is ondertussen al bijna 10 jaar oud.

edit: even wat verduidelijkt

[Reactie gewijzigd door LongTimeAgo op 25 juni 2021 19:13]

Als dat ding al die 10 jaar heeft gedraaid dan zitten er goede schijfjes in. Er zijn er die minder dan 10 jaar meegaan.
Ben er ook uiterst tevreden over.
Laatste tijd begint hij wel wat kuren te vertonen bij het kopiëren van grote aantallen, maar streamen van videos naar de TV doet die nog als de beste (nouja, niet hoger dan Full HD weliswaar, want 4K stottert gewoon teveel).
Volgens de web interface is de schijf ook nog healthy/good.
hallo, ik bezit ook zo'n nas (my book live duo) alleen ik kan er niet meer mee naar de tv streamen en dit heeft het altijd wel gedaan kan het aan de instellingen liggen van de nas?
zo ja hoe moeten de instellingen staan?
uiteraard heb ik nu de nas ook losgekoppeld van het internet.
Een NAS staat doorgaans ook niet 24/7 te draaien. Schijven kunnen prima tien jaar mee gaan.

De reden tot de aanschaf van nieuwe schijven is doorgaans eerder dat ze zo veel zuiniger zijn geworden dat je de upgrade terugverdient aan bespaarde stroomkosten, dan dat de schijven kapot dreigen te gaan.
Als er iéts doorgaans wél 24/7 draait zijn het NASjes....
Ze staan wel aan, maar gaan op standby en dan draaien bij mij de schijven niet.
Het enige nadeel is dat je bij een access een paar seconden moet wachten tot-ie weer aangezwengeld is, maar daar kan ik prima mee leven.
Ik bezit zo'n ding. Volgens mij heb ik nog nooit zo snel in paniek achter de kast in gedoken om de netwerk kabel er uit te trekken na het lezen van een bericht!

Het is nu een puur 'offline' NAS apparaat dat alleen via mijn eigen netwerk toegankelijk is. Wellicht heeft dit vooralsnog geholpen.
Die snap ik even niet? Je hebt de netwerk kabel eruit getrokken en toch kan je eigen netwerk erbij? Hoe dan? Wireless?

[Reactie gewijzigd door idef1x op 25 juni 2021 10:21]

misschien via computer en USB oid?
Nee, misschien heb ik t een beetje verkeerd neer gezet.
Hij draaide de laatste 2 (of meer) jaar als lokale netwerk schijf. Na het lezen van dit bericht de netwerk kabel er uit getrokken tot ik meer van WD (of hier op tweakers) hoor met hoe en wat.

Zal hem binnenkort wel even op een lokaal (offline) netwerkje hangen om al m'n data alvast te kopieren.
Ik bezat ook een WD Live. Bij de cloud-waarschuwing van 2 jaar terug vertrouwde ik het niet meer, en ben overgestapt op cloud-based opslag en maak ieder kwartaal een data-backup op een externe schijf die de kluis ingaat.
Ik heb ook geprobeerd de disk eruit te halen, maar de WD Live zat zo professioneel dichtgelijmd dat ik in die poging de schijf gesloopt heb.
Overigens belachelijk dat WD er nu zo laconiek over doet, terwijl het issue al lang bekend was.
Had ook zoiets, alleen ben ik niet thuis dus snel even gebeld, zodat men de netwerkkabel er uit kon trekken. Nu is alleen de vraag wat nu alleen blokkeren of toch een nieuwe halen met langere ondersteuning, alleen zijn er tegenwoordig nog wel passief gekoelde?

ik heb trouwens geen mail gehad van een reboot, behalve de 17e vanwege stroomuitval ik heb dus goede hoop dat ik nog geen slachtoffer ben geworden van deze exploit.

[Reactie gewijzigd door Tirinium op 25 juni 2021 12:39]

Als je handig bent kan je de standaard WD firmware van zo'n MyBook vrij eenvoudig vervangen door OpenWRT (google op openwrt + mybook). Dat heeft een aantal andere voordelen, zoals het gemakkelijk kunnen installeren van custom packages.
Het kan een lastig klusje zijn, Openwrt op een single of double zetten, vooral als je het de eerste keer doet.
Ook moet je eerst al je data back-uppen zodat je niets kwijt bent na het installeren.

Voor het gemak hierbij wat links naar pagina's welke mij bij het installeren erg bij hebben geholpen:
(19.07.7)

Openwrt Link
en
Github link
Enigste juiste handelen met dit soort meuk (geld niet alleen voor WD) alleen lokaal blijven gebruiken, disconnecten van z'n cloud toepassingen (Mydit, Mydat ect), en/of open poortjes op je router weer dicht zetten.
En gebruik voor acces van buiten af een VPN oplossing op je router, (of andere oplossing als OPenVPN op een PI als voorbeeld)
En dan nog 1 ding wat altijd bij kennissen en familie opvalt en niet gebeurd. : Een online backup is geen backup (ondanks versie beheer ect), maak altijd een back van de backup (offline) en plaats deze buiten de deur (familie, ect). Maar dit geld voor iedereen.
Oja en 10 jaar een schijf actief vind toch noemenswardig maar hij kan er zo een keer mee stoppen. Maar dat kan ook met een schijf van een jaar oud (ok dan kun terug vallen op garantie maar niet op je data)

[Reactie gewijzigd door psdata op 25 juni 2021 09:59]

Voor geïnteresseerden meer (Engelstalige) achtergrond

https://arstechnica.com/g...ipe-my-book-live-devices/
gerelateerde discussie door IT professionals: https://news.ycombinator.com/item?id=27674871

link uit deze discussie naar in-depth article: https://censys.io/blog/cv...k-live-mass-exploitation/
Wat ik niet helemaal snap is, wat is het doel van zo'n persoon om deze apparaten te resetten? Worden ze dan gebruikt voor DDoS aanvallen? Begrijp ik het goed wat in de link van FeronIT staat dat de hacker na de hack root toegang heeft? Want dan zou het kunnen denk ik
Gewoon "kinderen" die nét de juiste termen in Shodan invoeren en zo heel eenvoudig bij dit soort devices terechtkomen.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee