先前我們報導過Western Digital的My Cloud 被資安專家表示,存有一個後門的漏洞。而該資安專家表示,這個漏洞至今還沒有修補。不過,根據Western Digital發布的聲明稿表示,該漏洞已於2017年11月16日所發布的韌體更新予以解決,請消費者盡速更新。
GulfTech Research and Development的資安專家James Bercegay 在2017年的年中,就發現 My Cloud 有一個後門漏洞,任何人都可以利用"mydlinkBRionyg"這個管理員名稱,以及利用 "abc12345cba" 為密碼,登入 My Cloud 裝置。登入之後,攻擊者就可以透過界面來對該裝置進行攻擊。
就算是不連上網際網路,只將 My Cloud 放在區域網路,一樣可以利用相同的方式來攻擊這個裝置,攻擊者只需要在區域網路中利用另一台電腦,利用在網站上使用的HTML image以及iFrame tags技術,搭配已知的管理員名稱以及密碼,來向區域網路中的 My Cloud 發出訪問的請求,一樣可以存取 My Cloud 的內容。
而現在Western Digital針對此事的全文聲明如下:
Western Digital知悉My Cloud產品先前報導的安全漏洞。這些問題是由一安全研究組織於2017年揭露,而近期幾篇文章(來源包括gulftech.org;thehackernews.com;techspot.com)所提到的重大問題,已於2017年透過v2.30.172版韌體更新予以解決。其他較小問題將在未來更新版本加以解決。使用者若於韌體更新時需要協助,請聯繫Western Digital顧客服務(https://support.wdc.com)。
此外,Western Digital再次提示使用者,請確保持續更新產品韌體,並建議您啟動自動更新功能。我們也鼓勵使用者採取各種資料保護措施,例如定期進行資料備份並設定密碼保護,包括在使用個人雲端或網路附加儲存(NAS)裝置時,也請確保路由器的安全性。
Western Digital持續致力於提升產品的功能及安全性,同時我們也會與安全研究組織共同處理可能發現的問題。我們鼓勵使用者及研究人員以負責的態度揭露問題,並確保客戶在我們處理漏洞時受到保護。
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!