Sembra che ci sia stato più di un exploit utilizzato per causare l'eliminazione di massa dei dati dai NAS WD My Book Live la scorsa settimana, secondo un rapporto di Ars Technica. Quando si è diffusa la notizia che le persone stavano scoprendo che i loro dati mancavano, alcuni (incluso lo stesso WD) hanno indicato un exploit noto del 2018, che consentiva l'accesso root del dispositivo. Tuttavia, sembra che stia succedendo più di quanto inizialmente sospettato.
Se hai uno di questi dispositivi, dovresti scollegarlo da Internet prima di continuare a leggere: è chiaro a questo punto che i tuoi dati sono a rischio se il dispositivo è online.
Il secondo exploit, riportato da Ars Technica, non dà a un utente malintenzionato il pieno controllo del dispositivo come l'altro exploit. Consente solo loro di cancellare da remoto il dispositivo senza dover conoscere la password. Tragicamente per coloro che hanno perso i dati, sembra che il codice che avrebbe impedito ciò fosse effettivamente presente nel software di WD My Book Live, ma sembra che sia stato commentato (o disattivato) da WD ad un certo punto, a causa di questo cambiamento , il software non ha eseguito l'autenticazione quando è stato chiesto di eseguire un ripristino dei dati di fabbrica.
WD aveva smesso di supportare questi dispositivi nel 2015. Sebbene l'exploit sia in circolazione almeno da allora, non lo è necessariamente uno scenario in cui un evidente problema di sicurezza persisteva attraverso anni e anni di aggiornamenti. Tuttavia, rimane ancora la domanda sul perché gli hacker abbiano deciso di ripristinare le impostazioni di fabbrica dei dispositivi.
Ars Technica ha una teoria selvaggia, basata sull'analisi della società di sicurezza Censys: la cancellazione dei dati è avvenuta a seguito di una lotta tra hacker, con un proprietario di una botnet che potenzialmente cercava di prendere il sopravvento o di interrompere un altro. Un hacker (o un gruppo di hacker) stava utilizzando l'exploit noto per controllare i dispositivi per alcuni scopi nefasti. Quindi, un'altra entità ha utilizzato l'exploit di cancellazione remota sconosciuto per cancellare quei dispositivi. Probabilmente avrebbe rimosso l'accesso della prima entità all'hardware, ma i dati degli utenti sono stati presi nel fuoco incrociato.
La teoria ha senso, data la natura concorrente degli exploit utilizzati . (Perché un hacker dovrebbe masterizzare un exploit precedentemente non segnalato per ripristinare le impostazioni di fabbrica delle macchine dopo aver già avuto accesso come root?) Da parte sua, WD ha detto ad Ars che potrebbe confermare che entrambi gli exploit sono stati utilizzati, almeno in alcuni casi. La società ha affermato che “non è chiaro il motivo per cui gli aggressori abbiano sfruttato entrambe le vulnerabilità”, ma ha osservato che avrebbe aggiornato il suo avviso di sicurezza sul secondo exploit.
The Verge non ha ricevuto immediatamente un risposta quando ha contattato WD per un commento sui risultati.