Bài học rút ra chính
- Ubiquiti bán bộ định tuyến không dây tiêu dùng cao cấp và yêu cầu khách hàng mới tạo tài khoản trực tuyến khi thiết lập phần cứng.
- Công ty đã bị tấn công trong cái mà ban đầu họ gọi là một vi phạm bảo mật nhỏ, nhưng theo các chuyên gia, điều này còn tồi tệ hơn nhiều.
- Các chuyên gia nói rằng bất kỳ phần cứng nào yêu cầu tài khoản trực tuyến đều có thể khiến dữ liệu và quyền riêng tư của bạn gặp rủi ro.
Ubiquiti, nhà sản xuất phần cứng mạng giàu tính năng, là nạn nhân mới nhất của vi phạm bảo mật khiến dữ liệu khách hàng gặp rủi ro.
Ubiquiti là một trong số các công ty yêu cầu (hoặc buộc) khách hàng tạo tài khoản khi thiết lập phần cứng mới. Các bộ định tuyến mới khác như Amazon’s Eero và Google’s Nest Wifi biến các tài khoản dựa trên đám mây trở thành trung tâm của trải nghiệm và không thể sử dụng nếu không có kết nối.
Sự phổ biến của họ đã khuyến khích nhiều công ty bộ định tuyến truyền thống, như Netgear và Linksys, làm theo với các tùy chọn dựa trên ứng dụng hoặc được lưu trữ trên đám mây của riêng họ - mặc dù chúng vẫn là tùy chọn trong hầu hết các trường hợp.
"Vi phạm chỉ có nghĩa là dữ liệu của họ hiện đang nằm trong tay của một bên khác, không phải nhà cung cấp", Dong Ngo, biên tập viên của Dong Knows Tech và cựu chuyên gia đánh giá bộ định tuyến cho CNET, cho biết trong một tin nhắn trực tiếp trên LinkedIn.
Ngô cho rằng các tài khoản bắt buộc trên nền tảng đám mây là một tin xấu đối với quyền riêng tư và bảo mật của khách hàng và đã thường xuyên cảnh báo độc giả của mình về các vấn đề với giao diện dựa trên đám mây.
Bạn muốn Tin cậy Bộ định tuyến của mình? Ditch the Cloud
Việc vi phạm máy chủ của Ubiquiti là một vấn đề đối với khách hàng vì nhiều sản phẩm của công ty yêu cầu tạo tài khoản dựa trên đám mây. Một ví dụ là Dream Machine, một bộ định tuyến prosumer mà công ty đã phát hành vào năm 2019.
Ngô coi đó là điều tiêu cực nếu một bộ định tuyến mà anh ấy đánh giá không cho phép sử dụng một giải pháp thay thế được kiểm soát cục bộ. Ông cảnh báo rằng phần cứng mạng dựa vào tài khoản bắt buộc dựa trên đám mây khiến chủ sở hữu không còn lựa chọn nào khác ngoài việc tin tưởng quyền riêng tư và bảo mật cho bên thứ ba và giới hạn các tùy chọn của người dùng nếu vi phạm xảy ra.
Vậy thì, chủ sở hữu có ý thức bảo mật phải làm gì? "Hãy gắn bó với giao diện web cục bộ", Ngo nói. "Tránh sử dụng ứng dụng dành cho thiết bị di động."
Lựa chọn tốt nhất không phải là bộ định tuyến cao cấp hứa hẹn có giao diện đám mây mạnh mẽ mà thay vào đó là bộ định tuyến đơn giản, rẻ tiền với giao diện cục bộ được truy cập thông qua trình duyệt web.
Người hâm mộ UniFi đã xác nhận nỗi sợ hãi của họ
Vi phạm máy chủ dựa trên đám mây của Ubiquiti đã gây ra một vấn đề nhức nhối cho người hâm mộ khi công ty yêu cầu chủ sở hữu của hầu hết các thiết bị phải đăng ký tài khoản Ubiquiti trong quá trình thiết lập. Bắt buộc phải truy cập vào nền tảng UniFi của công ty, nền tảng này kiểm soát bộ định tuyến và các sản phẩm nối mạng khác của công ty.
Tuyên bố mới nhất củaUbiquiti, được viết để đáp lại những cáo buộc mới trong một báo cáo do nhà báo an ninh Brian Krebs công bố, đã được đăng lên diễn đàn cộng đồng của mình vào ngày 31 tháng 3.
Tuyên bố lặp lại rằng các chuyên gia ứng phó sự cố "không xác định được bằng chứng nào cho thấy thông tin khách hàng đã bị truy cập, hoặc thậm chí bị nhắm mục tiêu." Ubiquiti tiếp tục làm việc với cơ quan thực thi pháp luật để xác định kẻ tấn công và tuyên bố có "bằng chứng được phát triển tốt".
Điều này chỉ gây náo động trên diễn đàn cộng đồng của công ty, diễn đàn đóng vai trò là phương tiện giao tiếp chính của công ty với khách hàng.
Mặc dù công ty cho biết không có bằng chứng cho thấy dữ liệu khách hàng đã bị nhắm mục tiêu hoặc vi phạm, Ubiquiti không bác bỏ các cáo buộc mới rằng họ không giữ được nhật ký truy cập thích hợp vào tài khoản khách hàng trên dịch vụ đám mây của mình.
Một khách hàng đăng bài dưới tên Sonar đã nói rõ sự thất vọng của họ, nói rằng, "Đó là vết thương lòng khi Ubiquiti đã cố gắng buộc quyền truy cập đám mây xuống cổ họng của những người nghèo [sử dụng các sản phẩm UniFi]."
Những người khác đã tham gia, đe dọa tẩy chay phần cứng Ubiquiti trong tương lai nếu yêu cầu tài khoản dựa trên đám mây không bị loại bỏ trong các bản cập nhật chương trình cơ sở trong tương lai.
Bài đăng trên cộng đồng thảo luận về báo cáo của Krebs đã nhận được hơn 430 bình luận của khách hàng và 17.000 lượt xem. Một bài đăng khác yêu cầu Ubiquiti cung cấp tài khoản địa phương đã nhận được 250 bình luận và hơn 12.000 lượt xem.
Không rõ Ubiquiti sẽ làm gì để lấy lại niềm tin của người hâm mộ. Công ty đã không trả lời yêu cầu bình luận của Lifewire và cũng không đưa ra phản hồi nào cho khách hàng trong các chủ đề cộng đồng thảo luận về vi phạm.
Vi phạm chỉ có nghĩa là dữ liệu của họ hiện đang nằm trong tay của một bên khác, không phải nhà cung cấp.
Sự im lặng từ Ubiquiti dường như xác nhận lời khuyên của Ngô. Một bộ định tuyến được kiểm soát cục bộ chắc chắn có thể có lỗ hổng bảo mật, nhưng chủ sở hữu ít nhất cũng có các tùy chọn.
Khách hàng của Ubiquiti phải đối mặt với một lựa chọn khó khăn hơn: tiếp tục tin tưởng công ty và hy vọng vấn đề không nghiêm trọng như cáo buộc hoặc ngừng sử dụng hoàn toàn các sản phẩm của công ty.
Sự lựa chọn tương tự này đang chờ đợi khách hàng của các bộ định tuyến khác dựa trên tài khoản dựa trên đám mây. Sự đơn giản và tiện lợi của chúng có vẻ hấp dẫn, nhưng các tùy chọn mà người dùng phải đối mặt là bất cứ điều gì, ngoại trừ đơn giản khi dịch vụ đám mây đính kèm bị vi phạm.
