Aktuelles

Prosumer Netzwerkausstatter Ubiquiti hatte ein Datenleck

Thread Starter
Mitglied seit
06.03.2017
Beiträge
7.293
Ubiquiti, Hersteller von Prosumer Netzwerkhardware (und auch Überwachungssysteme sowie weitere an das Netzwerk angebundene Produkte), hat seine Nutzer darüber informiert, dass es eventuell zu einem Datenleck gekommen ist und Accountdaten abgeflossen sein könnten.
... weiterlesen
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.

Beinfreiheit

Semiprofi
Mitglied seit
06.12.2019
Beiträge
43
Vielen Dank für die Meldung, mich hatte die Mail gestern auch erwischt.
Im UI-Forum wurde bestätigt, dass die Mail legitim ist -> UI Forum

Meine Vermutung liegt in den Problemen, die JetBrains in letzter Zeit gehabt hat, was der schlimmste anzunehmende Fall wäre ...
 

p4n0

Enthusiast
Mitglied seit
07.08.2012
Beiträge
2.713
Ort
Raum Stuttgart
Man kann das geraffel doch auch komplett offline ohne UBNT Account nutzen.

Die Aussage, dass Remote-Sites NUR durch den Cloud-Account verwaltet werden koennen ist ebenso falsch.
Dafuer kann man einfach nen Site2Site Tunnel errichten und das Ding ganz normal administrieren.
Der Artikel ist somit schlecht recherchiert und schlicht falsch!

Mein Mitleid haelt sich somit in grenzen.
 

Don

[printed]-Redakteur, Tweety
Mitglied seit
15.11.2002
Beiträge
33.018
Man kann das geraffel doch auch komplett offline ohne UBNT Account nutzen.

Die Aussage, dass Remote-Sites NUR durch den Cloud-Account verwaltet werden koennen ist ebenso falsch.
Es steht ja auch nicht da, dass man das so machen muss, es wird einem damit aber leicht gemacht. Natürlich hat und hatte man es am Ende selbst in der Hand welche Daten man weitergibt und welche nicht.
 

underclocker2k4

Mr. Alzheimer
Mitglied seit
01.11.2004
Beiträge
19.668
Ort
Bärlin
Wieso gibt es da Verwunderung?
Sämtliche Daten, die in irgendwelchen Datenbanken liegen sind perse angreifbar und abgreifbar.
Es gibt da keine Sicherheit in dem Maße.
Um das alles sicher zu machen, muss man Aufwand treiben und das ständig und fortlaufend. Und dennoch gibt es am Ende keine wirklich endgültige Sicherheit.

Ergo, hat man einen Account und eine Managementmöglichkeit von außerhalb bei einem externen Dienst, dann hat man eben diesen Angriffsvektor.
@Don , ist für dich jetzt verwunderlich, dass ein externer Account angreifbar ist?
Ist für dich verwunderlich, wenn ein externes Management existiert, dass diese MGMT auch angreifbar ist?

Von daher hast du deinen Account nur dann, halbwegs, im Griff, wenn er eben nicht auf externen Server/Systemen liegt.
Aber auch dann hast du keine 100%, du hast nur die Chance das System selber im Griff zu haben, wie weit auch immer das der User kann.

EDIT:
Wundert sich ja auch keiner, wenn jemand seinen Facebook oder Twitter Account hackt. Der Unterschied ist dann nur, dass man bei Facebook und Twitter "nur" z.B. Nachricht posten kann. Bei Ubi kann man eben die Geräte managen.
Also wo ist da jetzt der Unterschied?
(im Zweifel bist bei Facebook und Co. mehr am Arsch, weil man da eben ggf. mehr "kaputt" machen kann, außer bei deinem WLAN AP nen Netz einrichten)
 
Zuletzt bearbeitet:

rv112

Urgestein
Mitglied seit
29.01.2006
Beiträge
14.340
Ort
::1
Ich habe keinen Onlineaccount für Ubiquiti. Mache wenn ich unterwegs bin alles nur per VPN. Klar, wer komfortabel externe Sites verwalten will/muss, der nutzt eventuell doch die Cloud.
 

TheBigG

Enthusiast
Mitglied seit
24.05.2010
Beiträge
2.176
Sollten tatsächlich Accountdaten abgerufen worden sein, enthalten diese Namen, E-Mails, Adressen und Telefonnummern. Die Passwörter sollten verschlüsselt gespeichert sein – dennoch ist ein Austauschen angeraten.
Zeigt doch Wunderbar warum man die Daten einfach nicht ausfüllt.
Für den Namen A A statt einen echten Namen und bis auf das Land muss man bei der Adresse ja eh nichts ausfüllen.
Die Email kann man Wunderbar random generieren mit eigener domain.
So tut es nicht mal weh wenn der Account komplett veröffentlicht wird, denn es ist schlicht und ergreifend nichts an Persönlichen Daten hinterlegt.
Das einzige was Interessant für mich war, ist das man scheinbar Zahlungsinformationen hinterlegen kann, auch wenn sich mir nicht erschließt warum man das sollte. Die Produkte bekommt man doch woanders günstiger und schneller als direkt bei Ubiquiti.
 

p4r4d0xs

Experte
Mitglied seit
14.05.2013
Beiträge
1.012
mmhhhhm
Wollte mir grad noch eine Dream Machine bestellen.
leider nur mit einem Online Account verwendbar :/
 

DragonTear

Enthusiast
Mitglied seit
06.02.2014
Beiträge
13.810
Ort
Im sonnigen Süden
Wieso gibt es da Verwunderung?
Sämtliche Daten, die in irgendwelchen Datenbanken liegen sind perse angreifbar und abgreifbar.
Es gibt da keine Sicherheit in dem Maße.
Um das alles sicher zu machen, muss man Aufwand treiben und das ständig und fortlaufend. Und dennoch gibt es am Ende keine wirklich endgültige Sicherheit.
Richtig, allerdings gilt das Konzept "100%ige Sicherheit gibt es nicht" auch abseits von Online Produkten und Cloud.
Dass man durch einen Hack signifikanten Schaden erleidet (scheint hier ja z.B. nicht mal der Fall gewesen zu sein, soweit wir wissen) liegt in einer ähnlichen Größenordnung wie in einem schlimmen Autounfall verwickelt zu werden etc.
Online Angriffe machen uns einem eigentlich einzig deswegen Angst weil wir die Art und Weise nicht verstehen, während der Autounfall oder Blumentopf vom Balkon auf dem Kopf fallend, relativ eindeutig ist.
 

KurantRubys

Experte
Mitglied seit
26.08.2012
Beiträge
4.405
Ort
Bayern
Das einzige was Interessant für mich war, ist das man scheinbar Zahlungsinformationen hinterlegen kann, auch wenn sich mir nicht erschließt warum man das sollte.
Ich tippe mal auf "Elite" Service bzw den EA Store
 

underclocker2k4

Mr. Alzheimer
Mitglied seit
01.11.2004
Beiträge
19.668
Ort
Bärlin
Online Angriffe machen uns einem eigentlich einzig deswegen Angst weil wir die Art und Weise nicht verstehen, während der Autounfall oder Blumentopf vom Balkon auf dem Kopf fallend, relativ eindeutig ist.
Ich glaube eher, dass viele glauben, dass IT-Systeme ein deterministisches System sind.
Quasi so, es wurde von Menschen erschaffen, die clever waren, also verstehen sie das System und daher muss es ja sauber funktionieren und es kann quasi keine Angriffsvektoren geben.
Also quasi im Gegenteil zu der Situation, wenn man einen Blumentopf außen auf die Fensterbank stellt. Wenn der am nächsten Morgen kommt, ist der weg. Der Wind ist schuld...
Dass alle Systeme aber vom Menschen geschaffen sind und Menschen das Parabeispiel für learning by failing sind, wird dabei garnicht in Betracht gezogen.
Fakt ist aber, dass Quellcode eher ein stochastisches System ist. Egal welchen Aufwand man treibt, egal welchen Absicherungsprozess man hat, es wird immer Fehler geben.
Wenn man sich mit Softwarequalität beschäftigt, stellt man sehr schnell fest, dass eigentlich nichts so funktioniert, wie man sich das denkt./erhofft.

Von daher, nichts unerwartetes. Genauso wie nen Tesla seine Autos um einen Baum wickelt, VWs auf der BAB Vollbremsungen machen, genauso werden wir in aller Regelmäßigkeit irgendwelche DB-Einträge in DBs finden, wo sie nicht hingehören.
 

p4r4d0xs

Experte
Mitglied seit
14.05.2013
Beiträge
1.012
Das ist nicht korrekt. Unsere UDM läuft offline. Man muss nur wissen wie ..
Die normale Dream Machine?
Überall steht das zwingend eine Internet Verbindung benötigt wird um diese einzurichten
Und wenn es geht, wie kann ich diese denn dann ohne Account einrichten?
 

Tuxerus

Semiprofi
Mitglied seit
03.02.2017
Beiträge
60
Bei mir hats vor ca, einem halben Jahr funktioniert, kein UI Konto zu erstellen und dafür eine private Email Addresse zu verwenden.
Das Passwort dass dann eingegeben worden ist, war das lokale Passwort.
 

TheBigG

Enthusiast
Mitglied seit
24.05.2010
Beiträge
2.176
Online Angriffe machen uns einem eigentlich einzig deswegen Angst weil wir die Art und Weise nicht verstehen, während der Autounfall oder Blumentopf vom Balkon auf dem Kopf fallend, relativ eindeutig ist.
Da Sprich mal schön für dich selbst und lass die Allgemeinheit da raus.
Ich glaube eher, dass viele glauben, dass IT-Systeme ein deterministisches System sind.
Quasi so, es wurde von Menschen erschaffen, die clever waren, also verstehen sie das System und daher muss es ja sauber funktionieren und es kann quasi keine Angriffsvektoren geben.
Ich glaube das das auch nur Menschen glauben die sich nie mehr mit IT beschäftigt haben als Oberflächlich zwischen Tür und Angel.
Der Rest wird wohl schon mehrfach von Bugs heimgesucht worden sein und somit festgestellt haben das die Systeme nicht von Göttern sondern auch nur normales Dudes architektiert, geschrieben und gewartet wurden.
 
Oben Unten