Gadgets

Contournement de mot de passe faille dans le Western Digital My Cloud lecteurs met les données à des risques

Un chercheur en sécurité a publié les détails d’une vulnérabilité dans un populaire stockage cloud drive après la société a omis de délivrer des correctifs de sécurité pour plus d’une année.

Remco Vermeulen trouvé une remontée de bug dans le Western Digital My Cloud appareils, qui permet à un attaquant de contourner le mot de passe admin sur le lecteur, gagnant de “contrôle complet” sur les données de l’utilisateur.

L’exploit fonctionne parce que le lecteur est basé sur le web tableau de bord ne fonctionne pas correctement, vérifier les références d’un utilisateur avant de lui donner un éventuel attaquant d’accéder à des outils qui devraient exiger des niveaux plus élevés d’accès.

Le bug a été “facile” à exploiter, Vermeulen dit TechCrunch, dans un courriel, et est exploitable à distance si un de Mon Nuage appareil permet d’accéder à distance sur l’internet — qui des milliers de dispositifs ne. Il a posté une preuve-de-concept de la vidéo sur Twitter.

Détails de l’corrections ont également été indépendamment trouvé par une autre équipe de sécurité, qui a publié son propre code d’exploitation.

Vermeulen a rapporté le bogue a plus d’un an, en avril 2017, mais dit que la compagnie a cessé de répondre. Normalement, les chercheurs en sécurité donne 90 jours pour une entreprise de répondre, en ligne avec acceptées de l’industrie responsable de la divulgation des lignes directrices.

Après avoir constaté que WD mis à jour le My Cloud firmware en attendant sans la correction de la vulnérabilité qu’il a trouvé, il a décidé de publier les résultats de ses recherches.

Un an plus tard, DEO n’a toujours pas publié de correctif.

La compagnie a confirmé qu’il sait de la vulnérabilité, mais n’a pas dit pourquoi il a fallu plus d’un an de correctif. “Nous sommes en train de finaliser un planifiées de mise à jour du firmware qui permettra de résoudre la question,” un porte-parole a dit, quoi qu’il arrive “dans un délai de quelques semaines.”

DEO a dit que plusieurs de ses Mon Nuage produits sont vulnérables — y compris les EX2, EX4 et d’un Miroir, mais pas de Mon Nuage à la Maison.

Dans l’intervalle, Vermeulen a dit qu’il n’y a pas de solution et que les utilisateurs ont à “il suffit de débrancher le lecteur tout à fait si ils veulent garder leurs données en toute sécurité.

About the author

Cyriac

Je suis Zeh Cyriac , fondateur et chef de la direction de la société informatique DROP Corporation Inc. et blogueur indépendant aux États-Unis, avec une passion pour l'Entrepreneuriat en ligne, le marketing de contenu et toutes les choses qui tournent au tour du digital et ’informatique .

Add Comment

Click here to post a comment

Newsletter

Les dernières nouvelles du Web, de la high-tech et de l'innovation numérique tous les matins à l'heure du petit déjeuner.

Vous avez parfaitement souscrit ! Consultez vos mails pour confirmer l'inscription .