Problema de segurança: o gerenciador de sites em nuvem exibiu consoles de outras pessoas em vez do meu

 (community.ui.com)
1 pontos por GN⁺ 2023-12-16 | 1 comentários | Compartilhar no WhatsApp

Problema de segurança no administrador de sites em nuvem: o console de outro usuário apareceu para mim

  • Um usuário fez login em https://unifi.ui.com/consoles para acessar seu próprio console como de costume, mas 88 consoles de outras contas foram exibidos.
  • Tinha acesso total a esses consoles, podendo usá-los como se fossem seus.
  • Somente após forçar a atualização do navegador seu próprio console voltou a aparecer.

Reação e discussão da comunidade

  • Não é a primeira vez que esse problema é levantado, e houve tentativa de encontrar posts anteriores, mas sem achar uma resposta.
  • UI-Marcus, da Team Ubiquiti, pediu mais informações por mensagem direta para entender melhor a situação.
  • Alguns usuários apontaram que essa reação não é suficiente e defenderam que o problema deveria ser reconhecido oficialmente, com atualizações regulares.
  • Outro usuário afirmou que, em incidentes assim, é preciso seguir protocolos rígidos de comunicação e confiou que a equipe da UI está trabalhando para resolver o problema.
  • Houve também um pedido para que o app mobile seja atualizado para permitir conexão direta por endereço IP estático, possibilitando acesso sem depender da nuvem.

Opinião do GN⁺

  • Este incidente expõe vulnerabilidades de segurança em serviços baseados em nuvem e reforça a importância da proteção de dados dos usuários e da privacidade.
  • A reação da comunidade fornece feedback em tempo real para as equipes de produto e segurança, mostrando a importância de uma abordagem colaborativa para resolver os problemas enfrentados pelos usuários.
  • Este texto será interessante para pessoas com interesse em software e segurança de redes, além de oferecer uma visão sobre a interação e o processo de resolução de problemas dentro da comunidade técnica.

Leituras relacionadas

1 comentários

 
GN⁺ 2023-12-16
Comentários do Hacker News

  • Opinião de um ex-funcionário da Ubiquiti:

    • A Ubiquiti do começo tinha problemas, mas havia muitas pessoas inteligentes e trabalhadoras.
    • As pessoas se surpreendiam ao saber que a empresa tinha poucos funcionários quando estava popularizando a Ubiquiti e a UniFi.
    • Depois que o CEO reorganizou a empresa em torno dos escritórios de Portland e da China, a empresa entrou em declínio gradual.
    • Os designers de UX de Portland queriam deixar tudo mais bonito sem entender como usar os produtos.
    • Em Portland também havia Nick Sharp, responsável pela nuvem, que chantageou a empresa e mentiu à imprensa sobre o hack.
    • O escritório da China criou o fracassado produto FrontRow, e essas pessoas estavam destinadas a ser os futuros líderes da empresa, mas todas as tentativas foram um desastre.
    • Pessoas da equipe de nuvem saíram da empresa ou foram demitidas, então nem se sabe mais quem gerencia a nuvem hoje.
    • Espera que a empresa volte ao caminho certo.

  • Opinião de um usuário que montou uma rede UniFi:

    • Montou uma rede UniFi há 6~7 anos, e o hardware parecia muito sólido.
    • O hardware era realmente bom, mas o software era quase impossível de usar.
    • O software foi projetado para parecer impressionante para a gerência, mas não era adequado para uso real.
    • Até uma configuração simples de rede doméstica levou dias, e depois de configurar uma vez, nunca mais mexeu nela.
    • A UniFi é, em teoria, o sistema que ele queria, mas se o software não for amigável para o usuário, a qualidade do hardware não significa nada.

  • Opiniões no subreddit da Ubiquiti:

    • A nuvem é como um banheiro público: é privada, mas sempre tem gente por perto.
    • Falar para colocar algo na nuvem faz lembrar o caso em que o Dropbox aplicou uma mudança que ignorava senhas.
    • Explicação de como desativar o acesso remoto do roteador.
    • Pergunta sobre o uso de CDN e menção aos problemas causados por isso.
    • Orientações de como desativar o acesso remoto para quem usa UDMP.
    • Levanta a dúvida de por que os dados que passam pelos servidores da Ubiquiti não são criptografados de ponta a ponta.
    • Fornece o link para o comunicado oficial da Ubiquiti.