Da asporto chiave
- Ubiquiti vende router wireless consumer di fascia alta e richiede ai nuovi clienti di creare un account online durante la configurazione dell'hardware.
- L'azienda è stata violata in quella che inizialmente chiamava una violazione della sicurezza minore, ma che secondo gli esperti è molto peggio che minore.
- Gli esperti affermano che qualsiasi hardware che richiede un account online potrebbe mettere a rischio i tuoi dati e la tua privacy.
Ubiquiti, un produttore di hardware di rete ricco di funzionalità, è l'ultima vittima di una violazione della sicurezza che mette a rischio i dati dei clienti.
Ubiquiti è una delle numerose aziende che chiede (o obbliga) i clienti a creare un account durante la configurazione di un nuovo hardware. Altri nuovi router come Eero di Amazon e Nest Wifi di Google rendono gli account basati su cloud al centro dell'esperienza e non possono essere utilizzati senza una connessione.
La loro popolarità ha incoraggiato le società di router più tradizionali, come Netgear e Linksys, a seguire l'esempio con le proprie opzioni ospitate su cloud o basate su app, sebbene siano ancora opzionali nella maggior parte dei casi.
"La violazione significa solo che i loro dati sono ora nelle mani di un' altra parte, diversa dal fornitore", ha affermato Dong Ngo, editore di Dong Knows Tech ed ex revisore di router per CNET, in un messaggio diretto su LinkedIn.
Ngo pensa che gli account obbligatori basati su cloud siano cattive notizie per la privacy e la sicurezza dei clienti e ha spesso messo in guardia i suoi lettori sui problemi con le interfacce basate su cloud.
Vuoi fidarti del tuo router? Abbandona la nuvola
La violazione dei server di Ubiquiti è un problema per i clienti perché molti dei prodotti dell'azienda richiedono la creazione di un account basato su cloud. Un esempio è Dream Machine, un router prosumer rilasciato dalla società nel 2019.
Ngo considera negativo se un router che esamina non consente l'utilizzo di un' alternativa controllata localmente. Avverte che l'hardware di rete che fa affidamento su un account basato su cloud obbligatorio non lascia ai proprietari altra scelta che affidare la privacy e la sicurezza a terzi e limita le opzioni dell'utente in caso di violazione.
Cosa deve fare un proprietario attento alla sicurezza? "Rimanere con l'interfaccia web locale", ha detto Ngo. "Evita di usare un'app mobile."
L'opzione migliore non è un router premium che promette un'interfaccia cloud robusta, ma, invece, un router semplice ed economico con un'interfaccia locale accessibile tramite un browser web.
I fan di UniFi hanno le loro paure confermate
La violazione del server basato su cloud di Ubiquiti ha colpito un punto dolente per i fan quando la società ha richiesto ai proprietari della maggior parte dei dispositivi di registrarsi per un account Ubiquiti durante la configurazione. È necessario per accedere alla piattaforma UniFi dell'azienda, che controlla i router dell'azienda e altri prodotti in rete.
L'ultima dichiarazione di Ubiquiti, scritta in risposta alle nuove accuse in un rapporto pubblicato dal giornalista di sicurezza Brian Krebs, è stata pubblicata sul forum della sua comunità il 31 marzo.
La dichiarazione ripete che gli esperti di risposta agli incidenti "non hanno identificato alcuna prova che le informazioni sui clienti siano state accedute, o addirittura prese di mira". Ubiquiti continua a collaborare con le forze dell'ordine per identificare l'aggressore e afferma di disporre di "prove ben sviluppate".
Questo ha solo alimentato il clamore sul forum della community dell'azienda, che funge da principale linea di comunicazione con i clienti.
Sebbene la società affermi che non ci sono prove che i dati dei clienti siano stati presi di mira o violati, Ubiquiti non ha confutato le nuove accuse di non aver tenuto registri adeguati di accesso agli account dei clienti sul suo servizio cloud.
Un cliente che ha pubblicato un post sotto il nome Sonar ha chiarito la sua delusione, dicendo: "È un sale in più nella ferita che Ubiquiti ha cercato di forzare l'accesso al cloud in gola alla povera gente [usando i prodotti UniFi]."
Altri si sono uniti, minacciando di boicottare il futuro hardware Ubiquiti se il requisito dell'account basato su cloud non verrà abbandonato nei futuri aggiornamenti del firmware.
Il post della community che parla del rapporto di Krebs ha ricevuto oltre 430 commenti dei clienti e 17.000 visualizzazioni. Un altro post che chiede a Ubiquiti di rendere disponibili gli account locali ha ricevuto 250 commenti e oltre 12.000 visualizzazioni.
Non è chiaro cosa farà Ubiquiti per riconquistare la fiducia dei fan. La società non ha risposto alla richiesta di commento di Lifewire e non ha offerto alcuna risposta ai clienti nei thread della community che discutevano della violazione.
La violazione significa solo che i loro dati sono ora nelle mani di un' altra parte, diversa dal venditore.
Il silenzio di Ubiquiti sembra confermare il consiglio di Ngo. Un router controllato localmente può certamente presentare delle vulnerabilità, ma almeno i proprietari hanno delle opzioni.
I clienti di Ubiquiti devono affrontare una scelta più difficile: continuare a fidarsi dell'azienda e sperare che il problema non sia grave come affermato, oppure smettere di utilizzare i suoi prodotti del tutto.
Questa stessa scelta attende i clienti di altri router che fanno affidamento su account basati su cloud. La loro semplicità e praticità possono sembrare allettanti, ma le opzioni che gli utenti devono affrontare sono tutt' altro che semplici quando il servizio cloud collegato viene violato.
