Problema de seguridad: Cloud Site Manager expone consolas ajenas en lugar de la mía

 (community.ui.com)
1 puntos por GN⁺ 2023-12-16 | 1 comentarios | Compartir por WhatsApp

Problema de seguridad del administrador de sitios en la nube: se me muestran las consolas de otros usuarios

  • Un usuario inició sesión en https://unifi.ui.com/consoles para acceder a su consola como de costumbre, pero se le mostraron 88 consolas de otra cuenta.
  • Tenía acceso completo a esas consolas, pudiendo usarlas como si fueran propias.
  • Solo después de forzar la recarga del navegador volvió a mostrarse su propia consola.

Reacción y discusión en la comunidad

  • No es la primera vez que se plantea este problema, y se intentó encontrar publicaciones anteriores, pero no se hallaron respuestas.
  • UI-Marcus, del equipo de Ubiquiti, solicitó más información por mensaje directo para entender mejor la situación.
  • Algunos usuarios señalan que esta respuesta no es suficiente y sostienen que deberían reconocer oficialmente el problema y ofrecer actualizaciones periódicas.
  • Otros usuarios creen que, cuando ocurre un incidente, se deben seguir protocolos estrictos de comunicación y confían en que el equipo de UI esté trabajando para resolverlo.
  • También hubo una petición para actualizar la app móvil para que pueda conectarse directamente mediante una dirección IP estática y así permitir el acceso sin depender de la nube.

Opinión de GN⁺

  • Este incidente deja en evidencia vulnerabilidades de seguridad en los servicios basados en la nube y subraya la importancia de proteger los datos y la privacidad de los usuarios.
  • La reacción de la comunidad ofrece retroalimentación en tiempo real a los equipos de desarrollo de producto y seguridad, y muestra la importancia de un enfoque colaborativo para resolver los problemas que enfrentan los usuarios.
  • Este texto resultará interesante para quienes se interesan por el software y la seguridad de redes, y ofrece una mirada al proceso de interacción y resolución de problemas dentro de la comunidad técnica.

Lecturas relacionadas

1 comentarios

 
GN⁺ 2023-12-16
Opinión en Hacker News

  • Opinión de un ex empleado de Ubiquiti:

    • Al principio Ubiquiti tenía problemas, pero había muchas personas inteligentes y trabajadoras.
    • A la gente le sorprendía que la empresa tuviera tan pocos empleados cuando dio a conocer ampliamente Ubiquiti y UniFi.
    • Después de que el CEO reorganizó la empresa alrededor de las oficinas de Portland y China, la compañía comenzó a deteriorarse gradualmente.
    • Los diseñadores de UX en Portland querían rediseñar todo para que se viera más elegante, sin entender cómo se usaban los productos.
    • En Portland también estaba Nick Sharp, responsable de cloud, que extorsionó a la empresa y mintió a la prensa sobre el hackeo.
    • La oficina de China creó el fallido producto FrontRow, y se suponía que ellos serían los futuros líderes de la empresa, pero todos sus intentos fueron un desastre.
    • En el equipo de cloud la gente renunció o fue despedida, así que ahora ni siquiera se sabe quién administra la nube.
    • Ojalá la empresa vuelva a encaminarse.

  • Opinión de un usuario que implementó una red UniFi:

    • Implementó una red UniFi hace 6 o 7 años, y el hardware parecía muy sólido.
    • El hardware realmente era bueno, pero el software era casi imposible de usar.
    • El software estaba diseñado para verse impresionante ante la gerencia, pero no servía bien para el uso real.
    • Incluso configurar una red doméstica simple tomó varios días, y una vez configurada no la volvió a tocar.
    • En teoría, UniFi es el sistema que uno querría, pero si el software no es fácil de usar, la calidad del hardware no significa nada.

  • Opiniones en el subreddit de Ubiquiti:

    • La nube es como un baño público: es privado, pero siempre hay gente alrededor.
    • La sugerencia de subirlo a la nube hace recordar el incidente en el que Dropbox aplicó un cambio que ignoraba las contraseñas.
    • Explicación de cómo desactivar el acceso remoto del router.
    • Pregunta sobre si usan un CDN y mención de los problemas causados por ello.
    • Guía para desactivar el acceso remoto para quienes usan UDMP.
    • Se cuestiona por qué los datos que pasan por los servidores de Ubiquiti no están cifrados de extremo a extremo.
    • Se proporciona un enlace al comunicado oficial de Ubiquiti.