Belangrijkste afhaalrestaurants
- Ubiquiti verkoopt hoogwaardige draadloze routers voor consumenten en vereist dat nieuwe klanten een online account aanmaken bij het instellen van de hardware.
- Het bedrijf werd gehackt in wat het aanvankelijk een kleine beveiligingsinbreuk noemde, maar die volgens experts veel erger is dan een kleine.
- Experts zeggen dat alle hardware waarvoor een online account nodig is, uw gegevens en uw privacy in gevaar kan brengen.
Ubiquiti, een fabrikant van veelzijdige netwerkhardware, is het laatste slachtoffer van een beveiligingsinbreuk waardoor klantgegevens in gevaar komen.
Ubiquiti is een van de vele bedrijven die klanten vragen (of dwingen) om een account aan te maken bij het instellen van nieuwe hardware. Andere nieuwe routers zoals Amazon's Eero en Google's Nest Wifi maken cloudgebaseerde accounts centraal in de ervaring en kunnen niet worden gebruikt zonder een verbinding.
Hun populariteit heeft meer traditionele routerbedrijven, zoals Netgear en Linksys, aangemoedigd om dit voorbeeld te volgen met hun eigen cloud-gehoste of app-gebaseerde opties, hoewel ze in de meeste gevallen nog steeds optioneel zijn.
"De inbreuk betekent alleen dat hun gegevens nu in handen zijn van een andere partij, anders dan de leverancier", zei Dong Ngo, redacteur van Dong Knows Tech en voormalig routerrecensent voor CNET, in een direct bericht op LinkedIn.
Ngo denkt dat verplichte cloudgebaseerde accounts slecht nieuws zijn voor de privacy en veiligheid van klanten, en heeft zijn lezers regelmatig gewaarschuwd voor de problemen met cloudgebaseerde interfaces.
Wilt u uw router vertrouwen? Sloot de Cloud
De inbreuk op de servers van Ubiquiti is een probleem voor klanten, omdat voor veel van de producten van het bedrijf een cloudgebaseerd account moet worden aangemaakt. Een voorbeeld is de Dream Machine, een prosumer-router die het bedrijf in 2019 uitbracht.
Ngo vindt het negatief als een router die hij beoordeelt het gebruik van een lokaal gecontroleerd alternatief niet toestaat. Hij waarschuwt dat netwerkhardware die vertrouwt op een verplicht cloudgebaseerd account, eigenaren geen andere keuze laat dan privacy en beveiliging aan een derde partij toe te vertrouwen en de opties van een gebruiker beperkt als er een inbreuk plaatsvindt.
Wat moet een beveiligingsbewuste eigenaar dan doen? "Blijf bij de lokale webinterface", zegt Ngo. "Vermijd het gebruik van een mobiele app."
De beste optie is geen premium router die een robuuste cloudinterface belooft, maar in plaats daarvan een eenvoudige, goedkope router met een lokale interface die toegankelijk is via een webbrowser.
UniFi-fans hebben hun angst bevestigd
De inbreuk op de cloudgebaseerde server van Ubiquiti trof fans een zere plek toen het bedrijf eiste dat eigenaren van de meeste apparaten zich tijdens de installatie aanmeldden voor een Ubiquiti-account. Het is vereist om toegang te krijgen tot het UniFi-platform van het bedrijf, dat de routers en andere netwerkproducten van het bedrijf bestuurt.
Ubiquiti's laatste verklaring, geschreven als reactie op nieuwe beschuldigingen in een rapport gepubliceerd door veiligheidsjournalist Brian Krebs, werd op 31 maart op het communityforum geplaatst.
De verklaring herha alt dat experts op het gebied van incidentrespons "geen bewijs hebben gevonden dat klantinformatie is gebruikt of zelfs maar het doelwit is." Ubiquiti blijft samenwerken met de politie om de aanvaller te identificeren en beweert "goed ontwikkeld bewijs" te hebben.
Dit zorgde alleen maar voor opschudding op het communityforum van het bedrijf, dat dient als de belangrijkste communicatielijn met klanten.
Hoewel het bedrijf zegt dat er geen bewijs is dat klantgegevens het doelwit waren of dat er inbreuk was gepleegd, weerlegde Ubiquiti geen nieuwe aantijgingen dat het niet de juiste logs van toegang tot klantaccounts op zijn cloudservice bijhield.
Een klant die postte onder de naam Sonar maakte hun teleurstelling duidelijk en zei: "Het is extra zout in de wond dat Ubiquiti de arme mensen [met UniFi-producten] toegang tot de cloud probeert te forceren."
Anderen deden mee en dreigden toekomstige Ubiquiti-hardware te boycotten als de cloudgebaseerde accountvereiste niet wordt geschrapt in toekomstige firmware-updates.
De communitypost waarin het rapport van Krebs wordt besproken, heeft meer dan 430 reacties van klanten en 17.000 weergaven ontvangen. Een ander bericht dat Ubiquiti vraagt om lokale accounts beschikbaar te maken, heeft 250 reacties en meer dan 12.000 views ontvangen.
Het is onduidelijk wat Ubiquiti gaat doen om het vertrouwen van fans terug te winnen. Het bedrijf heeft niet gereageerd op het verzoek van Lifewire om commentaar en heeft geen reactie gegeven aan klanten in communitythreads waarin de inbreuk wordt besproken.
De inbreuk betekent alleen dat hun gegevens nu in handen zijn van een andere partij, anders dan de leverancier.
De stilte van Ubiquiti lijkt het advies van Ngo te bevestigen. Een lokaal bestuurde router kan zeker kwetsbaarheden hebben, maar eigenaren hebben in ieder geval opties.
Ubiquiti's klanten staan voor een moeilijkere keuze: blijf het bedrijf vertrouwen en hoop dat het probleem niet zo ernstig is als beweerd, of stop volledig met het gebruik van de producten.
Dezelfde keuze wacht op klanten van andere routers die afhankelijk zijn van cloudgebaseerde accounts. Hun eenvoud en gemak lijken misschien aantrekkelijk, maar de opties waarmee gebruikers worden geconfronteerd, zijn allesbehalve eenvoudig wanneer de bijgevoegde cloudservice wordt geschonden.
