Western Digital: Zahlreiche My-Cloud-Lösungen mit Sicherheitslücke

Die My-Cloud-Produkte von Western Digital sprechen Nutzer an, die mehr brauchen als nur eine externe Festplatte, denen aber ein vollwertiges NAS zu viel ist. Sicherheitsforscher haben in den My-Cloud-Lösungen von Western Digital eine erhebliche Sicherheitslücke entdeckt.

My-Cloud-Lösungen ermöglichen den Aufbau einer privaten Cloud mit der Daten Zuhause als auch unterwegs zur Verfügung stehen. Einige dieser Produkte lassen sich von außen angreifen.

Western Digital: Zahlreiche My-Cloud-Lösungen mit Sicherheitslücke

Bei der Sicherheitslücke handelt es sich um einen fest hinterlegten Admin-Zugang, der vom Nutzer nicht deaktiviert werden kann. Jeder der Zugriff auf die My-Cloud hat, auch über das Internet, kann auf den Speicher zugreifen.

Die Entdecker der Sicherheitslücke haben in ihrem Bericht die Zugangsdaten für den Admin-Account eingefügt. Die unten genannten My-Cloud-Produkte akzeptieren folgenden Admin-Login:

  • Benutzername: mydlinkBRionyg
  • Passwort: abc12345cba

Diese Login-Daten sind fest im Code der Western Digital Produkte hinterlegt. Das ist eine vollwertige Backdoor und mehr als nur grob fahrlässig.

Die Sicherheitsforscher haben Mitte 2017 Western Digital über das Problem informiert. Der Eingang der Informationen wurde von WD auch bestätigt und es wurden die üblichen 90 Tage von WD gefordert, bevor die Lücke öffentlich bekannt gemacht wird.

Ein Update seitens Western Digital ist bisher nicht erfolgt. Nutzer sollten deshalb zwingend darauf achten, dass die betroffenen My-Cloud-Lösungen mit der Sicherheitslücke nicht über das Internet erreichbar sind. Betroffen sind folgende Geräte:

  • MyCloud <= 2.30.165
  • MyCloudMirror <= 2.30.165
  • My Cloud Gen 2
  • My Cloud PR2100
  • My Cloud PR4100
  • My Cloud EX2 Ultra
  • My Cloud EX2
  • My Cloud EX4
  • My Cloud EX2100
  • My Cloud EX4100
  • My Cloud DL2100
  • My Cloud DL4100

Persönliche Meinung

Wie sicher ist eine Cloud? My-Cloud-Produkte werden oft für Nutzer beworben, die Cloud-Lösungen von Google, Dropbox oder Microsoft nicht vertrauen. Western Digital hat sich hier einen schweren Schnitzer erlaubt und ein Admin-Konto fest in die Software implementiert.

Weitere Informationen zur Sicherheit im Internet findet ihr im verlinkten Beitrag. Die Seite informiert euch ausführlich, worauf ihr beim Surfen achten müsst und wie ihr eure Geräte schützen und sicherer machten könnt.

Kommentar verfassen