Používatelia UniFi, populárneho radu bezdrôtových zariadení od výrobcu Ubiquiti, hlásili, že prijímajú a kontrolujú súkromné ​​kamery zo zariadení iných používateľov, ukazujú príspevky na stránke sociálnych médií Reddit za posledných 24 hodín.

„Moja žena nedávno dostala upozornenie od UniFi Protect, ktoré obsahovalo obrázok z bezpečnostnej kamery,“ povedal jeden používateľ Redditu spomínané. „Avšak tu je dilema: Tento fotoaparát nám nepatrí.“

Vyvolávanie obáv a starostí

Príspevok obsahoval dve fotografie. Prvá zobrazovala upozornenie odoslané na telefón danej osoby, že UDM Pro, sieťový ovládač a brána, ktorú používajú technicky zdatní spotrebitelia, rozpoznal osobu, ktorá sa pohybuje na dvore. Statické video zaznamenané pripojenou kamerou ukazuje trojposchodový dom obklopený stromami. Druhý obrázok ukázal dashboard používateľa Reddit. Pripojené zariadenie používateľa bolo UDM SE a zachytené video ukazovalo úplne iný domov.

O menej ako hodinu neskôr iný používateľ Redditu, ktorý uverejňoval príspevok v rovnakom vlákne, odpovedal: „Takže, veľmi zaujímavé, že ste to zverejnili, chystal som sa uverejniť, že keď som dnes ráno išiel na unifi.ui.com, niekto sa prihlásil na iný účet Presne tak! Môj e-mail bol vpravo hore, ale UDM Pro patrí niekomu inému! Môžem navigovať v zariadení a zobrazovať a meniť nastavenia! Úžasné!!“

Dvaja ďalší ľudia sa prihlásili do toho istého vlákna, aby nahlásili podobné správanie, ktoré sa im vyskytlo.

Za posledný deň boli uverejnené ďalšie vlákna Reddit, v ktorých sa uvádza, že používatelia UniFi sa pripájajú k súkromným zariadeniam alebo kanálom, ktoré vlastnia iní tu A tu. Prvý hlásil, že plagát na Reddite získal plný prístup do systému niekoho iného. Príspevok obsahoval dve snímky obrazovky ukazujúce, že na plagáte bolo napísané video neznámej firmy. Druhý plagát hlásil, že sa prihlásil do svojho ovládacieho panela Ubiquiti, aby našiel ovládacie prvky systému niekoho iného. „Skončil som tak, že som sa odhlásil, vymazal si cookies atď. a teraz sa mi to zdá v poriadku…“ napísal plagát.

Niekto iný nahlásil rovnaký problém na pošty Vo štvrtok to bolo zverejnené na fóre podpory komunity Ubiquiti, kde bol tento príbeh Ars nahlásený. Osoba nahlásila prihlásenie do konzoly UniFi ako jej každodennú rutinu.

„Tentoraz mi však bolo ponúknutých 88 ovládačov z iného účtu,“ napísala osoba. „Mal som úplný prístup k týmto ovládačom, rovnako ako k svojim vlastným ovládačom. Toto sa zastavilo až vtedy, keď som vynútil aktualizáciu prehliadača a moje ovládače boli znova vykreslené.

Vo štvrtok všade Povedal Identifikoval chybu a opravil chyby, ktoré ju spôsobili.

„Tento problém bol spôsobený najmä inováciou našej infraštruktúry UniFi Cloud, ktorú sme už vyriešili,“ napísali predstavitelia. Pokračovali:

1. Čo sa stalo?

1 216 účtov Ubiquiti („Skupina 1“) bolo nesprávne priradených k samostatnej skupine 1 177 účtov Ubiquiti („Skupina 2“).

2. Kedy sa to stalo?

13. decembra, 6:47 až 15:45 UTC.

3. Čo to znamená?

Počas tejto doby dostal malý počet používateľov skupiny 2 oznámenia push na svoje mobilné zariadenia z konzol priradených malému počtu používateľov skupiny 1.

Okrem toho počas tejto doby mohol byť používateľovi Skupiny 2, ktorý sa pokúsil prihlásiť do svojho účtu, udelený dočasný vzdialený prístup k účtu Skupiny 1.

Je pochopiteľné, že tieto správy vyvolávajú obavy a dokonca obavy používateľov produktov UniFi, medzi ktoré patria bezdrôtové prístupové body, prepínače, smerovače, ovládače, VoIP telefóny a produkty na riadenie prístupu. Ako internetové brány do lokálnych sietí používateľov poskytujú zariadenia UniFi spôsob prístupu ku kamerám, mikrofónom a iným citlivým zdrojom v domácnosti.

Jeden účastník fóra žartoval: „Myslím, že by som teraz mal prestať chodiť po svojom dome nahý.“

Ku cti Ubiquiti patrí, že zamestnanci spoločnosti proaktívne reagovali na správy, pričom naznačili, že správy berú vážne a začali ich aktívne vyšetrovať už od začiatku. Zamestnanci povedali, že problém bol odstránený a k zámene účtov už nedochádza.

Je užitočné si uvedomiť, že tento druh správania – legitímne prihlásenie sa do účtu len s cieľom nájsť údaje alebo ovládacie prvky patriace úplne inému účtu – je starý ako internet. Nedávne príklady: septembrová chyba T-Mobile a podobné chyby, ktoré sa jej týkajú Chase Bank, Virginia Banks I, Kreditná karmaA šprint.

Presné hlavné príčiny tohto typu systémovej chyby sa líšia od incidentu k incidentu, ale často zahŕňajú hardvér „strednej skrinky“, ktorý sa nachádza medzi predným a zadným zariadením. Aby sa zlepšil výkon, stredné boxy ukladajú určité údaje vrátane prihlasovacích údajov nedávno prihlásených používateľov. Ak dôjde k nezhode, poverenia jedného účtu možno priradiť k inému účtu.

V e-maile predstaviteľ Ubiquiti uviedol, že zamestnanci spoločnosti stále zhromažďujú „informácie na poskytnutie presného hodnotenia“.