nieuws: Ubiquiti erkent fout waarbij gebruikers toegang kregen tot andermans ...
@YannickSpinner Ik had dit als een post op het artikel geschreven, maar eigenlijk is dit feedback die beter in het artikel verwerkt moet worden.
Dit schrijven ze op hun website:
Dit is een structureel probleem. De marketing van Ubiquiti strookt niet met de waarheid. Voor de modale gebruiker, die remote access inschakelt om naar zijn cameras te kijken, heeft Ubiquiti op eender welk moment toegang tot je hele netwerk inclusief alle camerabeelden. Het enige wat ze moeten doen is "per ongeluk" je session token uit de database halen en ze kunnen direct aan de slag. Dit wilt ook zeggen dat politie met een subpoena ook toegang kan krijgen tot je beelden, zonder dat je hier enig weet van hebt.
Nu kan je zeggen, ze hebben vast en zeker een policy om die tokens nooit te gebruiken. Maar dat doet er niet toe. Google en Amazon hebben ook vast en zeker policies om niet naar je beelden te kijken. Mensen kiezen Ubiquiti omdat ze niet willen dat het in de eerste plaats mogelijk is, niet dat het enkel een policy is het niet te doen. En een aanvaller, intern of extern (zoals we eerder al gezien hebben) kan de tokens dus ook stelen. Dat is een structureel probleem.
Ubiquiti had dit overigens van de start kunnen oplossen. Remote login had als DDNS kunnen werken, waarbij je direct verbinding maakt met je toestel zonder langs de servers van Ubiquiti te gaan. Of ze hadden bij setup een key exchange kunnen uitvoeren tussen je router en telefoon (zoals bij Wireguard). Dan had de hele verbinding e2e versleuteld kunnen zijn. Maar dat hebben ze duidelijk niet gedaan.
@YannickSpinner Ik had dit als een post op het artikel geschreven, maar eigenlijk is dit feedback die beter in het artikel verwerkt moet worden.
Hierbij geef je wel heel veel krediet aan Ubiquiti. Dit probleem is even "structureel" als bij Eufy, en mijn insziens eigenlijk erger.In tegenstelling tot de recente problemen rondom toegang tot Eufy-camera's lijkt het bij Ubiquiti niet om een structureel probleem te gaan, maar om een incident.
Dit schrijven ze op hun website:
Dit is duidelijk niet het geval. Als je je camerabeelden vanop afstand wilt bekijken, of push notifications wilt verkrijgen van je beelden, moet je remote access inschakelen. De Unifi app werkt niet als je via Wireguard met je netwerk verbonden bent. En als je remote access inschakelt, dan vloeien je session tokens door de server van Ubiquiti waar ze blijkbaar ook opgeslagen worden. Anders zou het nooit mogelijk geweest dat bepaalde gebruikers toegang kregen tot de console van iemand anders.How do I access my cameras?
Easily and securely access your cameras from anywhere in the world using the UniFi Web Portal or UniFi Protect Mobile App (iOS/Android). All surveillance footage remains local to your UniFi Console to avoid unnecessary cloud storage for maximum data privacy. UniFi OS simply provides a secure connection to your local UniFi Console. Remote management is a free optional feature.
Are my video recordings private and secure?
Yes, we prioritize privacy standards and ensure that your recordings are saved locally on your UniFi Console without any cloud involvement.
Dit is een structureel probleem. De marketing van Ubiquiti strookt niet met de waarheid. Voor de modale gebruiker, die remote access inschakelt om naar zijn cameras te kijken, heeft Ubiquiti op eender welk moment toegang tot je hele netwerk inclusief alle camerabeelden. Het enige wat ze moeten doen is "per ongeluk" je session token uit de database halen en ze kunnen direct aan de slag. Dit wilt ook zeggen dat politie met een subpoena ook toegang kan krijgen tot je beelden, zonder dat je hier enig weet van hebt.
Nu kan je zeggen, ze hebben vast en zeker een policy om die tokens nooit te gebruiken. Maar dat doet er niet toe. Google en Amazon hebben ook vast en zeker policies om niet naar je beelden te kijken. Mensen kiezen Ubiquiti omdat ze niet willen dat het in de eerste plaats mogelijk is, niet dat het enkel een policy is het niet te doen. En een aanvaller, intern of extern (zoals we eerder al gezien hebben) kan de tokens dus ook stelen. Dat is een structureel probleem.
Ubiquiti had dit overigens van de start kunnen oplossen. Remote login had als DDNS kunnen werken, waarbij je direct verbinding maakt met je toestel zonder langs de servers van Ubiquiti te gaan. Of ze hadden bij setup een key exchange kunnen uitvoeren tussen je router en telefoon (zoals bij Wireguard). Dan had de hele verbinding e2e versleuteld kunnen zijn. Maar dat hebben ze duidelijk niet gedaan.
:strip_icc():strip_exif()/u/1620490/crop61fe9f1db1033_cropped.jpg?f=community)