几年前,百度云盘、腾讯微云、360云盘等网络硬盘纷纷兴起,相比于当时流行的U盘,网络硬盘存储空间更大,而且不必随身携带,只要有网的地方就能使用,从而解决了U盘易丢的缺点。因此,网络硬盘得到了越来越多的人的青睐,使用人数也原来越多。然而,由于网络硬盘缺乏好的商业模式,同时涉及网络色情等,众多网络硬盘公司纷纷放弃了网络硬盘业务。因此,消费者必须寻找一个私有云盘以应对可能随时关闭的共有云,而西部数据私有云便是很多人的选择。
然而,近日Exploitee.rs向媒体透露,西部数据私有云似乎有着不小的安全漏洞,让多款 My Cloud 桌上型硬盘产品,被暴露在可能会被骇客攻击的危险之中。
根据 Exploitee.rs 的发现,他们在自己购买的 MyCloud PR4100 网络硬盘的使用过程中,察觉其实此系列多数产品都有着数个资安漏洞,除了些 scripts 等问题存在外,其中最严重的是一个可以直接让网络入侵者可以跳过登入,在无需许可的状况下直接下指令并能上传文件。
Exploitee.rs 表示,之所以会公布这些漏洞,主要是因为他们观察认为原厂不认真看待这类重大漏洞的名声已经在社交中相当有名,所以想通过此方法让西部数据更正视这些问题。
据了解,西数My Cloud个人云存储硬盘允许用户将该实体硬盘放在家中,通过本地局域网对设备进行无线访问,也可以通过互联网对硬盘内容进行远程访问。这个原理和所有公共云存储相同。
早在15年9月,其已经暴露出过漏洞安全问题,当时来自VerSprite的安全研究人员发现西数My Cloud个人云存储硬盘设备包含两个安全漏洞,允许使用某个版本Debian Linux的攻击者通过一个Web访问UI和一个RESTful API与硬盘发生联系,从而会给不法分子提供两种攻击方式:通过命令注入,或是通过跨站请求伪造(CSRF)攻击漏洞。不过,之后西部数据已经修复了这个漏洞。
而这一次,需要一提的是,西部数据也有对可以跳过登入的这个漏洞做出固件更新,只可惜关了一个门却又开了另一条路给了这些骇客,并没有真正地解决此问题。
看来,凡是与网络相关的东西都不可能保证绝对的安全,要想绝对安全,对于重要资料,还是不要连接互联网了吧。方便与便捷,乃鱼与熊掌不可兼得。
题图来自网络
