На прошлой неделе пользователи устройств Ubiquiti (от маршрутизаторов до камер наблюдения) сообщили, что они имеют полный доступ к чужим девайсам и уведомлениям через облачные сервисы UniFi.
Ubiquiti — крупный производитель сетевых устройств, предоставляющий пользователям облачную платформу UniFi, с помощью которой можно управлять всеми устройствами через единый облачный портал.
Все началось с того, что в середине прошлой недели клиент Ubiquiti пожаловался на Reddit, что по какой-то причине он получил уведомление через UniFi Protect от чужой камеры наблюдения.
«Обращаюсь за советом по поводу странной ситуации, с которой мы столкнулись при использовании UniFi Protect. Недавно моя жена получила уведомление от UniFi Protect, содержащее изображение с камеры наблюдения, — писал пользователь. — Однако проблема в том, что эта камера нам не принадлежит».
Вскоре другой клиент сообщил, что войдя на портал UniFi Site Manager для управления своими устройствами, он увидел в списке 88 устройств, связанных с учетной записью другого человека.
«У меня был полный доступ к этим консолям, равно как и к своим собственным. Это прекратилось только после того, как я принудительно обновил [страницу] браузера», — писал он.
Об похожих случаях стали рассказывать и другиепользователи Reddit, которые входили в систему и получали доступ к чужому UDM Pro, могли управлять устройством и создавать дополнительные сети Wi-Fi.
В ответ на эти многочисленные жалобы компания выпустила официальное заявление, согласно которому, проблема была вызвана неправильной конфигурацией при обновлении облачной инфраструктуры UniFi. В Ubiquiti утверждают, что ошибка возникла 13 декабря, сохранялась около 10 часов, а затем была устранена.
В компании сообщили, что 1216 учетных записей Ubiquiti, которые были означены как «Группа 1», оказались связаны с другой группой из 1177 учетных записей Ubiquiti («Группа 2»). Из-за ошибки в конфигурации учетные записи из «Группы 2» получали уведомления, предназначенные для учетных записей «Группы 1». Кроме того, при входе на облачный портал UniFi в учетных записях пользователей «Группы 2» были видны устройства клиентов из «Группы 1».
Подчеркивается, что расследование инцидента еще не завершено, но данный момент считается, что только 12 учетных записей были неправомерно доступны другим клиентам Ubiquiti. Владельцы аккаунтов, доступ к которым был получен третьими лицами, будут уведомлены по электронной почте.