News WD My Book Live: Nutzer sollen offline gehen, um Datenverlust zu verhindern

[Project 2501]

Ein Backup ist eine unabhängige Kopie von Daten. Wenn alle Daten bloß an einem einzigen Platz liegen, zählt das nicht als Backup.
Merkt man eigentlich selber wenn man mal denkt "was wäre, wenn diese externe Platte ausfällt?"

Ich wünsche zwar niemandem Datenverlust, aber hoffentlich passiert sowas öfter, damit sich endlich ein Bewusstsein für Datensicherheit durchsetzt und man sowas nicht mehr lesen muss:

Ja, das sind die besten SLA Verhandlungen
"MUSS das Backup und Storage Management so teuer sein? Sie müssen da doch nix machen, ist doch nur Daten doppelt bereithalten....Können wir das aus dem Servicekatalog streichen, Sie haben diese Position als zwingen gesetzt....?" 😂

Wobei die Frage erlaubt sein darf, wie der "Normalo" von solchen Dingen Wind bekommt!?

Ich jedenfalls "durchsuche" nicht wöchentlich das Internet um irgendwelche Meldungen zu suchen, in denen Erklärt wird, dass ein Gerät welches ich besitze ein schwerwiegendes Problem hat...

Dass IoT generell mit Vorsicht zu genießen ist und veraltete Software ein Sicherheitsrisiko darstellt, sollte wiklich jeder schon mal gehört haben.

Da braucht man keine CVEs zu lesen um zu wissen, dass irgendeine popelige 5 Jahre alte Appliance nicht gerade sicher im Netz ist.

 

[Luthredon]

Da vertust Du dich, mich betreffend. Ich kann da ganz gut differenzieren, wer Mitleid verdient und wer nicht.

Du musst nicht nochmal bestätigen, dass du es nicht verstehst.

Sonst noch irgendwelche Unterstellungen?

Wieso? Erwartest du noch welche?

Magst mich wieder?

Ist das wichtig? Aber ich hab dich nie nicht gemocht

 

[Jan]

Artikel-Update: WD hat bestätigt, dass eine Schwachstelle in der Firmware die Attacke auf mit dem Internet verbundene WD My Book Live und My Book Live Duo möglich gemacht hat, sofern der Fernzugriff aktiv war. Dass Angreifer auf diesem Weg sogar eine unautorisierte Werkszurücksetzung durchführen konnten, war WD hingegen bis dato nicht bekannt. Diese Lücke wird jetzt als CVE-2021-35941 geführt. Die Lücke wurde mit einem Update im Jahr 2011 geschaffen, das letzte Update aus dem Jahr 2015 hat sie nicht geschlossen.

WD geht aktuell nicht davon aus, dass der Angriff über Dienste in der Cloud, sondern direkt erfolgt ist – beide Produktserien können über Port-Forwarding im Internet sichtbar gemacht werden.

Datenrettungsdienst für betroffene Kunden
Kunden, die in Folge der Attacke ihre Daten verloren haben, will WD mit einem Datenrettungsdienst bereit stellen. Allen Inhabern eines My Book Live (Duo) soll darüber hinaus ein Trade-In-Angebot unterbreitet werden, um auf eine aktuellere Serie zu wechseln. Details zu diesem Programm stehen noch aus.

 

[wern001]

Tja ich nenn das mal PP wer seine NAS ins Internet stellt.
Des weiteren ist eine NAS als Datensicherung ungeeignet! Eine NAS nimmt man höchstens zum zwischensichern.

 

[knoxxi]

Kunden, die Infolge der Attacke ihre Daten verloren haben, will WD mit einem Datenrettungsdienst beiseite stellen.

das liest sich irgendwie krumm. ", will WD einem Datenrettungsdiendt beiseite stellen."

oder möchte man wirklich die Kunden beiseite stellen? "Mach mal Platz da!"

oder möchte man ihnen "beiseite stehen"? 😁

 

[Dito]

Und dann wollen die Geheimdienste Lücken, wo es ohnehin schon massig davon gibt...

Den Leuten kann man echt nicht helfen.
Ich sichere meine Daten nur offline...

 

[itm]

Bei ARStechnica stand sogar welchen Bock WD da geschossen hat… bei der CVE 2018 war es ein hardcoded Master Passwort als SHA1 Hash. Und bei der neuen ein auskommentierter Loginverification Check… https://arstechnica.com/gadgets/202...t-2018-bug-to-mass-wipe-my-book-live-devices/

Wie do was 10 Jahre ungesehen bleibt, ist fragwürdig…

 

[mausfang]

ich habe eine MY Home die als Backup Platte nutze,
es reicht wenn man im Router die Platte für den Internet Zugang einfach Sperrt, das geht z.b. bei den AVM Routern sehr einfach, zugreifen kann man dann nur noch über das eigne Netzwerk auf die HDD.

Das genügt nicht, wenn der ausgehende Zugriff von dem Gerät ins Internet über den Router gesperrt wird.

Es muss auch UPnP deaktiviert werden.

 

[Jan]

Artikel-Update: Inzwischen hat Western Digital Details zum Trade-In-Programm sowie zum Datenrettungsdienst veröffentlicht. Um das Angebot in Anspruch nehmen zu können, müssen betroffene Kunden bis zum 30. September 2021 ein Kontaktformular ausfüllen und dabei die Seriennummer des Produkts angeben.

 

[Ned Flanders]

WD Man könnte natürlich die Firmware fixen nach 6! Jahren oder zumindest den Exploit online DynDNS Service Abschalten… 🥳

Aber dann würde man an den geschädigten Kunde ja kein Geld verdienen, wie bei dem "trade in offer".

Ganz ehrlich: WD ist bei mir raus.

 

[JeverPils]

Laut Western Digital wird mangels Programmierer eine Kooperation mit Capcom eingegangen um an einer Problemlösung zu arbeiten.
User sollen bis dahin ihre Hardware offline halten und sich die Zeit mit Resident Evil Village vertreiben.

 

[Laphonso]

Artikel-Update: Inzwischen hat Western Digital Details zum Trade-In-Programm sowie zum Datenrettungsdienst veröffentlicht. Um das Angebot in Anspruch nehmen zu können, müssen betroffene Kunden bis zum 30. September 2021 ein Kontaktformular ausfüllen und dabei die Seriennummer des Produkts angeben.

Immerhin machen sie überhaupt etwas und stellen sich dem. Ja, das sollte "normal" sein , aber das ist es längst nicht mehr.
Zahlende Kunden, die "damals" Geld dort gelassen haben, bringen jetzt keinen Umsatz mehr.

In diesem Sinne begrüße ich den Servicegedanken, auch wenn das damage control ist und auch um PR+Image geht. Das tut aber sowieso immer.

 

[KWMM]

"Kunden, die in Folge der Attacke ihre Daten verloren haben,
will WD mit einem Datenrettungsdienst beiseite stellen."

Ich nehme an, es soll nicht "beiseite stellen" sondern "beiseitestehen" heissen.

 

[itm]

Tja ich nenn das mal PP wer seine NAS ins Internet stellt.
Des weiteren ist eine NAS als Datensicherung ungeeignet! Eine NAS nimmt man höchstens zum zwischensichern.

Die Geräte haben sich mittels UPNP Freiheiten im Netz geholt. Dumm nur das UPNP in normalen Routern meist standardmäßig erlaubt ist.

 

[netzgestaltung]

erinnert ein wenig an den bricker-bot. naja besser deaktivieren als als bot-netzwerk nutzen.

 

[cbtestarossa]

Wenn man dann noch einen der vielen Plastikrouter besitzt wo der normale unbedarfte User gleich alles auf Default belässt ist der Supergau perfekt.
Nie mehr gepatchte Firmwares oder sinnlose Flickschustereien wie bei Netgear lassen grüßen.
Und bei WD sieht es scheinbar auch nicht viel besser aus.
Naja man kann die Geräte dann nur noch auf die Müllhalde werfen.
Warum kauft sich der Konsument auch kein neueres Gerät jedes Jahr LOOL

UPnP war wie der Adminzugang aus dem Inet noch nie ne gute Idee.
Und ob unter der Haube dies dann auch so passiert wie in den tollen GUIs ist auch nicht immer sicher.
Aber man kennt es ja. Wie die Äuglein glitzern wenn sie ihr Gerät von außen sehen und nutzen können.
Ist wie Weihnachten. Der Rest interessiert dann nicht mehr ^^

 

[>_<]

WD ist nur ein guter Festplattenhersteller, der Rest (inkl. SSD) ist für mich Mist

 

[itm]

@>_<

Tatsächlich sind die SSDs aus dem Hause WD ziemlich gut... Allerdings sind die SSDs aus dem Hause WD ja auch keine WD Produkte... Sondern stammen von SanDisk

@cbtestarossa

Seien wir realitisch:
Wer die Easy Setup Boxen nutzt, nutzt auch die Fritzbox. Wer mehr möchte war bei den Plasteplatten von WD und Seagate (ja die hatten so ein ähnliches Produkt im Sortiment) eh falsch...