Ubiquiti: Nutzer konnten auf fremde Sicherheitskameras zugreifen
Besitzer verschiedener netzwerkfähiger Endgeräte des Herstellers Ubiquiti haben in den vergangenen Tagen gemeldet, sie hätten über die Unifi-Clouddienste des Anbieters auf Geräte und Benachrichtigungen fremder Personen zugreifen können - darunter Sicherheitskameras und Router. Ein Anwender berichtete(öffnet im neuen Fenster) , er habe in seinem Benutzerkonto Zugriff auf die Konsolen von 88 Geräten eines anderen Nutzers erhalten.
Die genannten Konsolen stellen offenbar eine Möglichkeit dar, verschiedene Ubiquiti-Produkte wie Router, Kameras oder intelligente Türklingeln über den Clouddienst des Herstellers zu steuern. "Ich hatte vollen Zugriff auf diese Konsolen, so wie ich auch auf meine eigenen Konsolen zugreifen würde" , erklärte der Anwender. Erst nachdem er das Webportal in seinem Browser aktualisiert habe, seien ihm wieder seine eigenen Konsolen angezeigt worden.
Bilder fremder Sicherheitskameras
Auch ein Nutzer aus Deutschland wies am Mittwoch auf Reddit(öffnet im neuen Fenster) auf ein entsprechendes Problem hin. Seine Frau habe unerwartet eine Benachrichtigung von Unifi Protect mit dem Bild einer Sicherheitskamera erhalten.
"Der Haken an der Sache ist jedoch, dass diese Kamera nicht uns gehört" , betonte er und belegte seine Angaben durch Screenshots. Nach dem Öffnen der Protect-App habe seine Frau aber nur die beiden Kameras gesehen, die dem Paar tatsächlich gehörten.
Ein Blick in die Kommentare(öffnet im neuen Fenster) zeigt, dass auch andere Nutzer(öffnet im neuen Fenster) von dem Problem betroffen(öffnet im neuen Fenster) waren.
Problem ist angeblich behoben
Ubiquiti leitete Untersuchungen ein und behob das Problem angeblich inzwischen. Verursacht worden sei es durch ein Upgrade der Unifi-Cloudinfrastruktur, teilte das Unternehmen am Donnerstag mit(öffnet im neuen Fenster) . Dabei seien fälschlicherweise 1.216 Ubiquiti-Konten (Gruppe 1) mit einer separaten Gruppe von 1.177 Ubiquiti-Konten (Gruppe 2) verbunden worden.
Am 13. Dezember zwischen 6:47 Uhr und 15:45 Uhr UTC habe daher "eine kleine Anzahl" von Benutzern aus Gruppe 2 Pushbenachrichtigungen auf ihren Mobilgeräten erhalten, die von Konsolen von Benutzern der Gruppe 1 ausgegangen seien. Ferner sei einigen Anwendern aus Gruppe 2 nach Anmeldung an ihrem Benutzerkonto möglicherweise vorübergehend ein Fernzugriff auf ein Konto der Gruppe 1 gewährt worden.
Wie viele unzulässige Zugriffe auf fremde Konten es tatsächlich gab, ist noch Gegenstand laufender Untersuchungen. Aktuell geht Ubiquiti davon aus, dass es "weniger als ein Dutzend" gewesen seien. Alle Nutzer aus Gruppe 1 sollen per E-Mail über den Vorfall informiert werden.