OOPS: Har du en slik stående hjemme, bør du oppdatere den snarest. Foto: Brynjulf Blix
OOPS: Har du en slik stående hjemme, bør du oppdatere den snarest. Foto: Brynjulf BlixVis mer

Sikkerhetshull i WD My Cloud NAS-disker

Ett brukernavn og passord kan brukes på alle enheter

Har du en slik hjemme, bør du oppdatere den snarest.

Mens mange nå har gått over til å bruke nettskyen som backupløsning, er det fortsatt andre som sverger til å ha filene sine for seg selv.

En populær løsning er da en såkalt NAS – «network attached storage», eller nettverkstilsluttet datalager om vi skal bruke vårt eget språk.

Dette er enkelt forklart en harddisk som kobles direkte til ruteren, og som du kan logge på enten når du er hjemme eller på farten for å laste opp eller ned filer.

Hardkodet admin-konto

Når man tar slike enheter i bruk, er det lurt å lage seg et brukernavn og passord som avviker fra det som er standard, slik at uvedkommende ikke kan logge på og få tilgang til filene som er lagret der.

Den kjente harddiskprodusenten Western Digital er nå ute i hardt vær – en rekke av deres modeller har nemlig et sikkerhetshull som ikke burde ha vært mulig: I programvaren på enheten er det nemlig hardkodet en brukerkonto som har fulle rettigheter.

I koden er det hardkodet et brukernavn og passord som gir full tilgang – uavhengig av hva brukeren har valgt som brukernavn og passord.
I koden er det hardkodet et brukernavn og passord som gir full tilgang – uavhengig av hva brukeren har valgt som brukernavn og passord. Vis mer

For taster du inn mydlinkBRionyg som brukernavn og abc12345cba som passord på disse enhetene, kommer du rett inn med full tilgang. Det har selskapet Gulftech funnet ut.

Berørte enheter

Enhetene som er berørt er også tilgjengelig her til lands – vi testet for eksempel en av dem i 2014.

Derfor kan det være lurt å sjekke om du eier en av disse:

  • My Cloud
  • My Cloud Mirror
  • My Cloud Gen 2
  • My Cloud PR2100
  • My Cloud PR4100
  • My Cloud EX2 Ultra
  • My Cloud EX2
  • My Cloud EX4
  • My Cloud EX2100
  • My Cloud EX4100
  • My Cloud DL2100
  • My Cloud DL4100

Gulftech skal ha meldt inn sikkerhetshullet til Western Digital allerede 10. juni i fjor. Seks dager senere fikk de svar, der produsenten ba om 90 dager før sikkerhetshullet ble offentliggjort.

Men det var ikke før i november-oppdateringen at dette sikkerhetshullet ble tettet. Med andre ord – har du en av de ovennevnte produktene, bør du sørge for å oppdatere fastvaren til siste versjon.

Er du usikker på om du har oppdatert, kan du prøve å logge på med det angitte brukernavnet og passordet over. Det skal ikke fungere dersom sikkerhetshullet er tettet.

Slik oppdaterer du

Du finner oppdateringen på denne siden hos Western Digital. Skroll ned til «product firmware», velg aktuell modell og følg instruksjonene for oppdatering.

Det innebærer å laste ned en fil til PC-en, logge på administrasjonsgrensesnittet til NAS-en og påføre oppdateringen.