WD My Book Live: Nutzer sollen offline gehen, um Datenverlust zu verhindern
Western Digital hat Inhaber externer Speicherlösungen vom Typ My Book Live dazu aufgerufen, die Geräte unverzüglich vom Netz zu nehmen. Hintergrund sind Berichte zahlreicher Nutzer, deren Geräte ohne eigenes Zutun zurückgesetzt wurden. WD geht von einer Attacke aus.
Factory Reset vernichtet alle Nutzerdaten
Zuerst hatte Bleeping Computer davon berichtet, dass sich seit gestern im Support-Forum von Western Digital zahlreiche Anwender mit demselben Problem zu Wort gemeldet haben: Alle auf My Book Live gespeicherten Daten seien verschwunden und das gesetzte Passwort zum Zugriff nicht mehr gültig.
Von betroffenen Anwendern bereitgestellte Logs konnten dann Licht ins Dunkel bringen: Allem Anschein nach wurden die Systeme ohne Zutun des Anwenders in den Werkszustand zurückgesetzt.
Western Digital hat die Vorfälle gegenüber Bleeping Computer bestätigt und spricht von einer Attacke über kompromittierte Software. Dass WD Nutzern dazu rät, My Book Live vom Internet, nicht aber komplett vom Strom zu trennen, deutet daraufhin, dass der Angriff über das Internet erfolgt.
Western Digital has determined that some My Book Live devices are being compromised by malicious software. In some cases, this compromise has led to a factory reset that appears to erase all data on the device. The My Book Live device received its final firmware update in 2015. We understand that our customers’ data is very important. At this time, we recommend you disconnect your My Book Live from the Internet to protect your data on the device. We are actively investigating and we will provide updates to this thread when they are available.
Warum der Hersteller in diesem Zusammenhang betont, dass My Book Live im Jahr 2015 das finale Firmware-Update erhalten hat, erklärt sich aus dem Rest der Stellungnahme nicht. Der Hersteller will dem Problem jetzt weiter auf den Grund gehen und sich melden, sobald es Neuigkeiten zu berichten gibt.
WD hat bestätigt, dass eine Schwachstelle in der Firmware die Attacke auf mit dem Internet verbundene WD My Book Live und My Book Live Duo möglich gemacht hat, sofern der Fernzugriff aktiv war. Dass Angreifer auf diesem Weg sogar eine unautorisierte Werkszurücksetzung durchführen konnten, war WD hingegen bis dato nicht bekannt. Diese Lücke wird jetzt als CVE-2021-35941 geführt. Die Lücke wurde mit einem Update im Jahr 2011 geschaffen, das letzte Update aus dem Jahr 2015 hat sie nicht geschlossen.
WD geht aktuell nicht davon aus, dass der Angriff über Dienste in der Cloud, sondern direkt erfolgt ist – beide Produktserien können über Port-Forwarding im Internet sichtbar gemacht werden.
Datenrettungsdienst für betroffene Kunden
Kunden, die in Folge der Attacke ihre Daten verloren haben, will WD mit einem Datenrettungsdienst bereit stellen. Allen Inhabern eines My Book Live (Duo) soll darüber hinaus ein Trade-In-Angebot unterbreitet werden, um auf eine aktuellere Serie zu wechseln. Details zu diesem Programm stehen noch aus.
Inzwischen hat Western Digital Details zum Trade-In-Programm sowie zum Datenrettungsdienst veröffentlicht. Um das Angebot in Anspruch nehmen zu können, müssen betroffene Kunden bis zum 30. September 2021 ein Kontaktformular ausfüllen und dabei die Seriennummer des Produkts angeben.