Некоторые пользователи сетевых устройств Ubiquiti получили доступ к камерам видеонаблюдения и роутерам сети UniFi других владельцев.
Ubiquiti производит сетевые устройства, работающие через облачную платформу UniFi, где пользователи могут управлять всем подключённым оборудованием через единый интерфейс.
Впервые о проблеме рассказал пользователь Reddit, который получил уведомление от чужой камеры наблюдения в UniFi Protect. Он отметил, что в списке доступных устройств платформы были указаны только две его камеры.
Другой клиент Ubiquiti обнаружил на портале управления устройствами UniFi Site Manager 88 устройств из учётной записи другого пользователя. Всё пришло в норму только после обновления браузера.
Об аналогичных случаях сообщили другие пользователи Reddit, они имели доступ к чужому оборудованию, могли управлять им и создавать дополнительные сети Wi-Fi. Как и в предыдущем случае, после обновления браузера в интерфейсе оставались только связанные с аккаунтами владельцев устройства.
Ubiquiti собирает информацию для оценки того, что могло вызвать проблемы. Производитель указал, что ошибка связана с неправильной конфигурацией при обновлении облачной инфраструктуры UniFi.
Компания разделила 1216 и 1177 учётных записей Ubiquiti на группу 1 и группу 2. Неправильная конфигурация позволила аккаунтам из второй группы получать уведомления, предназначенные для учётных записей из первой. Также из-за ошибки группа 2 могла видеть устройства аккаунтов группы 1 при входе на портал управления облаком UniFi.
Компания уведомила, что к настоящему времени проблема исправлена. Ubiquiti продолжает расследовать инцидент. Производитель предупредит пользователей, к оборудованию которых получали доступ другие клиенты, по электронной почте.
Источник новости: habr.com