過去幾天,陸續有Ubiquiti使用者報告稱,他們在登陸自己的UniFi雲服務時竟能意外訪問到其他人的攝像頭錄影、照片以及其他裝置。
據瞭解,Ubiquiti是一家知名的網路裝置製造商,提供基於雲的UniFi平臺,使用者能夠在雲上管理所有裝置。
事件當天,一位Ubiquiti客戶像以往一樣登陸其UniFi雲服務,卻在這時莫名收到了來自其他使用者賬戶的88個控制檯,不僅如此,他還發現自己能夠完全訪問這些來自另一個賬戶的控制檯。這種情況持續到他重新整理頁面才恢復正常。
“最近,我的妻子收到了一條來自UniFi Protect的通知,其中包括一張來自安全攝像頭的圖片,然而,問題是——這個攝像頭並不屬於我們。” 與此同時,Reddit上也有這樣一篇反映遭遇了相似的異常情況的帖子。
Reddit上的帖子說到,他們登入後可以訪問其他人的UDM Pro並且能夠管理裝置和建立額外的WiFi網路。而當他們重新整理門戶網頁,則能恢復到平常與他們賬戶相關聯的裝置。
“這有點讓人擔憂,還有其他人遇到這個問題嗎?”在Ubiquiti官方社群發帖的那位客戶問道。這件事引起了其他人的廣泛討論,大部分使用者表示出現這種安全問題是不可接受的,但由於該客戶當時沒有提供詳細的證據,是否確實存在該問題還需要官方進一步確認。
關於此事的最新訊息是,Ubiquiti已經對此發表了一份宣告:允許訪問其他客戶裝置的錯誤是由於UniFi雲基礎設施升級中的配置錯誤導致的。客戶反映的問題發生在12月13日UTC時間6:47至15:45之間,並已經得到解決。
該公司解釋道,1216個Ubiquiti賬戶(稱為“Group 1”)與1177個Ubiquiti賬戶(稱為“Group 2”)之間存在不當關聯。該錯誤配置導致允許“Group 2”賬戶接收本應發給“Group 1”賬戶的通知。此外,它還允許“Group 2”賬戶在登入UniFi雲管理門戶時看到“Group 1”客戶的裝置。
Ubiquiti目前仍在調查此事件,他們認為僅有12個賬戶被其他Ubiquiti客戶錯誤訪問。被錯誤訪問的賬戶持有人將會透過電子郵件收到通知。
編輯:左右裡
資訊來源:Ubiquiti、bleepingcomputer
轉載請註明出處和本文連結