UniFi デバイスがプライベート ビデオを他のユーザーのアカウントにストリーミングしました

ソーシャルメディアサイトRedditへの過去24時間の投稿によると、メーカーUbiquitiの人気のワイヤレスデバイスであるUniFiのユーザーが、他のユーザーのデバイスからプライベートカメラフィードを受信して​​制御していると報告していることが明らかになった。

「妻が最近UniFi Protectから通知を受け取りました。その通知にはセキュリティカメラの画像が含まれていました」と、あるRedditユーザーは語った。 言及された。 「しかし、ここにジレンマがあります。このカメラは私たちのものではありません。」

不安や心配を引き起こす

投稿には2枚の写真が含まれていた。 1 つ目は、テクノロジーに精通した消費者が使用するネットワーク コントローラーおよびゲートウェイである UDM Pro が裏庭で動き回る人物を検出したという、その人物の電話に送信される通知を示していました。 接続された監視カメラによって記録された静止ビデオには、木々に囲まれた 3 階建ての家が映っていました。 2 番目の画像は Reddit ユーザーのダッシュボードを示しています。 ユーザーの接続デバイスは UDM SE で、キャプチャされたビデオにはまったく異なる家が映っていました。

1時間も経たないうちに、同じスレッドに投稿した別のRedditユーザーが次のように返信した。その通りです! 私の電子メールは右上にありましたが、UDM Pro は他の人のものです! デバイスを操作して、設定を表示および変更できます! 素晴らしいです !!」

他の 2 人も同じスレッドに参加し、同様の行為が起こったと報告しました。

過去 1 日以内に、UniFi ユーザーがプライベート デバイスや他人が所有するフィードに接続していることを報告する他の Reddit スレッドが投稿されました ここ そして ここ。 最初の報告では、Reddit 投稿者が他人のシステムに完全にアクセスできるようになったと報告されています。 この投稿には、投稿者が未知のビジネスを撮影したビデオであると主張したことを示す 2 つのスクリーンショットが含まれていました。 もう一人の投稿者は、自分の Ubiquiti コントロール パネルにログインして、他人のシステム コントロールを見つけたと報告しました。 「結局ログアウトしたり、クッキーをクリアしたりしましたが、今は問題ないようです…」と投稿者は書いている。

他の人が同じ問題を次の場所で報告しました 郵便 このアルスの話は木曜日にユビキティコミュニティサポートフォーラムに投稿され、そこで報告されました。 この人物は、日常的に UniFi コンソールにログインしていると報告しました。

「しかし、今回は別のアカウントから 88 個のコントローラーを提供されました」とその人物は書いています。 「私は自分のコントローラーと同じように、これらのコントローラーにフル アクセスできました。これはブラウザーを強制的に更新したときにのみ停止し、コントローラーは再びレンダリングされました。

木曜日にはどこでも 彼は言った バグを特定し、その原因となったエラーを修正しました。

「具体的には、この問題はUniFiクラウドインフラストラクチャのアップグレードによって引き起こされましたが、その後解決しました」と関係者は書いている。 彼らはこう続けた。

1. 何が起こったのですか?

1,216 個の Ubiquiti アカウント (「グループ 1」) が、1,177 個の Ubiquiti アカウントからなる別のグループ (「グループ 2」) に誤って関連付けられていました。

2. いつこれが起こりましたか?

12 月 13 日、午前 6 時 47 分から午後 3 時 45 分（協定世界時）まで。

3. これはどういう意味ですか?

この間、少数のグループ 2 ユーザーが、少数のグループ 1 ユーザーに割り当てられたコンソールからモバイル デバイスでプッシュ通知を受信しました。

さらに、この間、自分のアカウントにサインインしようとしたグループ 2 ユーザーに、グループ 1 アカウントへの一時的なリモート アクセスが許可されている可能性があります。

当然のことながら、この報告はワイヤレス アクセス ポイント、スイッチ、ルーター、コントローラー、VoIP 電話、アクセス コントロール製品などの UniFi 製品のユーザーに懸念を引き起こし、さらには懸念を引き起こしています。 UniFi デバイスは、ユーザーのローカル ネットワークへのインターネット アクセス可能なゲートウェイとして、家庭内のカメラ、マイク、その他の機密リソースにアクセスする方法を提供します。

フォーラム参加者の一人は、「もう裸で家の中を歩き回るのはやめるべきだと思う」と冗談を言った。

ユビキティの名誉のために言っておきますが、同社の従業員は報告書に積極的に反応し、報告書を真剣に受け止め、早い段階から積極的に調査を始めたことを示唆しています。 スタッフによると、この問題は修正され、アカウントの取り違えはもう発生しなくなったという。

この種の動作 (まったく別のアカウントに属するデータやコントロールを見つけるためだけにアカウントに合法的にログインする) は、インターネットと同じくらい古いものであることを覚えておくと役立ちます。 最近の例: T-Mobile の 9 月のエラーとそれに関連する同様の不具合 チェース銀行、 バージニア・バンクス I、 クレジットカルマ、 そして スプリント。

このタイプのシステム エラーの正確な根本原因はインシデントごとに異なりますが、多くの場合、前面デバイスと背面デバイスの間にある「ミドル ボックス」ハードウェアが関係しています。 パフォーマンスを向上させるために、ミドルボックスには、最近ログインしたユーザーの資格情報などの特定のデータが保存されます。 不一致が発生すると、あるアカウントの資格情報が別のアカウントにマッピングされる可能性があります。

ユビキティの関係者は電子メールで、同社従業員が「正確な評価を提供するための情報」をまだ収集していると述べた。