Una preoccupante falla è stata rilevata e resa pubblica in merito ai dischi e Nas Western Digital, in particolare la funzionalità "My Cloud" funzionante nel software in dotazione.
In particolare è stato scoperta una "hardcoded backdoor", cioè un "porta generata a livello hardware" che permette a chiunque di utilizzare un particolare username (mydlinkBRionyg) e una password neanche troppo complicata (abc12345cba) per entrare nel sistema e poter accedere ai files contenuti nel disco.
James Bercegay capo della divisione Ricerca e Sviluppo di GulfTech, ha dimostrato la possibilità di sfruttare l'exploit in pochi semplici passaggi. La stessa divisione ha scoperto che parte del codice sfruttato per lo sviluppo di MyCloud è lo stesso del sistema ShareCenter di D-Link (da qui il nome dell'utente).
I risultati della ricerca sono stati notificati a WD che, però, dopo 6 mesi non ha ancora risposto (e fixato) il problema.
Log dei contatti:
- 2017-06-10: Contacted vendor via web contact form. Assigned case #061117-12088041.
- 2017-06-12: Support member Gavin referred us to WDC PSIRT. We immediately sent a PGP encrypted copy of our report to WDC PSIRT.
- 2017-06-13: Received confirmation of report from Samuel Brown.
- 2017-06-16: A period of 90 days is requested by vendor until full disclosure.
- 2017-12-15: Zenofex posts disclosure of the upload bug independantly of my research
- 2018-01-03: Public Disclosure
I seguenti modelli sono positivi alla falla descritta:
- MyCloud
- MyCloudMirror
- My Cloud Gen 2
- My Cloud PR2100
- My Cloud PR4100
- My Cloud EX2 Ultra
- My Cloud EX2
- My Cloud EX4
- My Cloud EX2100
- My Cloud EX4100
- My Cloud DL2100
- My Cloud DL4100
Il problema sembra essere stato risolto dalla versione 2.30.172 del firmware (novembre 2017), ma consigliamo a tutti di far verificare il proprio disco o nas !