如果您有 Western Digital My Cloud 儲存驅動器,請盡快考慮購買另一塊。同時,不要將其發佈到互聯網上。事實上,製造商提供的安全支援令人遺憾,這種設備會邀請駭客來挖掘您的資料。一年多來,來自安全研究人員安全化等剝削者西部數據曾向西部數據發出其設備有嚴重缺陷的警告,但該公司從未採取任何補救措施。儘管事實上這個缺陷很容易被利用。甚至已經為著名的滲透測試平台 Metasploit 編寫了一個漏洞利用模組。
https://twitter.com/Exploiteers/status/1042093284666040325
該缺陷與會話 cookie 的管理不善有關,並使得繞過儲存磁碟管理控制台的身份驗證成為可能。幾行程式碼就足以以管理員身分遠端控制機器,如下所示這個動畫。
西部數據缺乏專業精神並不令人意外。該製造商經常因其多個安全缺陷而受到指責。 2016 年,他榮獲「最不穩定供應商反應」類別的「Pwnie 獎」。
