Western Digital: Auch My Cloud OS3 hat Sicherheitslücken
von caschy | 8 Kommentare
Alte Speicherlösungen von Western Digital wurden über das Internet angegriffen und Daten der Nutzer gelöscht. Schuld war eine Sicherheitslücke. Betroffene Geräte sind aber schon alt und nicht mehr im Support durch Western Digital. Quasi: Netzwerkplatte, die über das Internet erreichbar sein kann, aber eben angreifbar ist – und kein Fix in Sicht. Um Kunden zu helfen, die durch diese Angriffe Daten verloren haben, wird Western Digital Datenwiederherstellungsdienste anbieten, die ab diesem Monat verfügbar sein werden. My-Book-Live-Kunden wird außerdem ein Trade-In-Programm angeboten, um ein Upgrade auf ein unterstütztes My-Cloud-Gerät durchzuführen.
Nun gibt es aber auch auf anderen als den hier genannten Western-Digital-Geräten Sicherheitslücken. Hier liegt es sicherlich im Auge des Betrachters inwiefern Kunden oder Nutzer Schuld am etwaigen Schlamassel sind. Brian Krebs, Journalist im Bereich Security, berichtet über gefundene Sicherheitslücken im Betriebssystem von Western Digital, die allerdings in My Cloud OS3 zu finden sind. Angreifer, die die Lücke ausnutzen, können eine Backdoor installieren und haben somit Zugriff auf weite Teile des Systems. Hier auch in Videoform. Die Lücke in My Cloud OS3 gibt es schon länger, die Finder sagen aus, dass sie versuchten Western Digital zu kontaktieren, aber nie eine Antwort erhielten. Warum? Nun, das liest sich fast abenteuerlich:
„Die Kommunikation, die uns erreichte, bestätigte, dass das Forscherteam plante, Details der Sicherheitslücke zu veröffentlichen und bat uns, sie bei Fragen zu kontaktieren„, sagte ein Sprecher von WD gegenüber Krebs. „Wir hatten keine Fragen, also haben wir nicht geantwortet. Seitdem haben wir unseren Prozess aktualisiert und antworten auf jede Meldung, um solche Fehlkommunikation zu vermeiden.“
Wie der Fehler nun behoben wurde? Nun ja, man sagt aus, dass man die Lücke in My Cloud OS3 mit dem Release von Lücke in My Cloud OS5 geschlossen habe – und diese Version jedem Nutzer ans Herz lege. Zahlreiche Nutzer sind von dieser Version aber nicht überzeugt. My Cloud OS3 wird nicht mehr unterstützt, und so scheint es, dass die Lücke dort noch existent ist. Allerdings gibt es für Nutzer des alten Systems einen Patch. Dieses Script muss bei jedem Systemstart automatisch mitgestartet werden, um Abhilfe zu schaffen. Alternativ darf das Gerät nicht mehr über das Internet erreichbar sein.
Das Problem wird uns künftig sicher noch oft begegnen, denn es gibt zahlreiche Anbieter, die vielleicht Lücken in eigenen oder Dritt-Modulen haben – und wenn da irgendwann der grundsätzliche Support vorbei ist, kann es vielleicht tricky werden. Ich möchte nicht wissen, wie das in 10 Jahren bei Altgeräten aus dem Bereich Speicher, Smart-Home und so aussieht…
| # | Vorschau | Produkt | Preis | |
|---|---|---|---|---|
| 1 |
|
QNAP NAS, no HDD/SSD, ARM processor, NPU | TS-233, 2-bay, 2GB RAM, 1GbE |
169,00 EUR |
Bei Amazon ansehen |
| 2 |
|
Qnap TS-433-4G NAS System 4-Bay |
389,00 EUR |
Bei Amazon ansehen |
| 3 |
|
QNAP TS-264-8G NAS N5095 8 GB (TS-264-8G) |
379,00 EUR |
Bei Amazon ansehen |
| 4 |
|
QNAP NAS, no HDD/SSD, ARM processor, NPU | TS-133, 1-bay, 2GB RAM, 1GbE |
148,86 EUR |
Bei Amazon ansehen |
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Der Daten-Gau in der Cloud ist doch absehbar. Wenn nicht die Technik korrupt ist, wird der Service irgendwann eingestellt oder aus Free wird Premiumzugang.
Daher Daten nach Plan verschlüsselt auf lokale Platten verschiedener Anbieter sichern.
Eine Platte bei Opa oder Oma hinterlegen (bei jedem Besuch durch aktuelle ersetzen), falls der Feuerteufel oder andere die eigene Wohnung besuchen.
Sehe ich anders. Beim letzten Starkregen ist mir ausgerechnet im Arbeitszimmer ein Teil der Decke runtergekommen. Direkt neben dem Schrank mit den Backup-Festplatten. Glücklicherweise hatte ich noch ein NAS zwei Räume weiter. Die wesentlichen Dinge lagern verschlüsselt in der Cloud. Lokale Sicherungen nur als absoluter Notnagel.
Auf FREE-Lösungen setze ich auf gar keinen Fall. Guter Service darf ruhig etwas kosten.
Nun ja, ich hoffe das funktioniert am Ende. Denn WD ist ja nun auch kein kostenloser Service, der noch nie vorher etwas mit Storage zu tun hatte.
Das mit dem Schrank im Keller, wo darüber eine Deckenverkleidung liegt, zeigt doch nur, dass eben auch der lokale Kostenfaktor unterschätzt wurde.
Ähnliches hatte ich in meiner Firma : ein gebrauchter Tresor, der nicht einmal 15 Minuten feuerstabil ist, sollte für die DLTs genügen. Ein Besuch vom Versicherungsmakler mit Blick auf den Tresor vervierfachte die monatlichen Kosten für die Versicherung, denn die haben ganz klare Vorgaben, welche mein Chef zuvor aber nicht so sah ….
Jetzt haben wir eine „Deluxe“-Version, dafür wurde die Versicherung wieder günstiger….
Meine privaten InHouse-Offline-Backup-Platten (3 Versionsstände auf insgesamt 21 HDDs) liegen im Keller in einem großen Rough-Case, welches 50m Wassertiefe und einen Brand (aktives Hitzegeschehen bei 900 Grad C ) für 120 Minuten aushält. Das hat mich zwar auch fast 600€ gekostet, eine Datenwiederherstellung kostet wesentlich mehr – und das nicht nur in €uros, sondern auch in Zeit.
Die extern gelagerten Daten meiner 1-2-3-Backup-Strategie sind in einem kleinen Rough-Case (4xHDD), was nicht ganz so stabil ist – die dürfen bei einem Brand auch gerne kaputt gehen, denn dafür ist es ja das 3. Backup der 1-2-3-Strategie….
@TierParkToni
Darf ich fragen, mit welcher Software Du die Backups in der Menge erstellst? Machst Du das automatisiert? Und dann gehst Du jeden Tag brav in den Keller und tauschst die Platten aus?
Dazu gehört viel Disziplin! 🙂
deswegen hat man auch die 3-2-1 Strategie beim Backup, was das ist spuckt dir google oder Wikipedia sehr detailliert aus. Cloud? Kann man machen, wenn einem seine Daten nix wert sind ;-P sorry sensible persönliche Daten gibt man niemals in die Hände Dritter auch nicht verschlüsselt!
Meine WD Mycloud hat folgendes OS laufen:
WDMyCloud v04.05.00-342
Es wird keinerlei Update angeboten. Was mache ich jetzt?
Sie hat allerdings schon immer keinerlei Zugang nach außen, da sie nur als internes Datengrab für alle dient.
Gute Frage. Sieht bei mir genauso aus. Ist das dann „My Cloud Os4“?