La cancellazione totale dei file, archivi e backup avvenuta negli scorsi giorni per alcuni utenti di Western Digital My Book Live non è stata causata da un malware, come inizialmente dichiarato dal costruttore: le indagini iniziali sull’incidente indicano che sono state sfruttate due vulnerabilità e che tutto forse è accaduto a causa di una guerra tra due gruppi di hacker in competizione tra loro.
Ricordiamo che i dischi fissi connessi al cloud WD My Book Live di alcuni utenti sono stati completamente cancellati con un comando di ripristino alle condizioni di fabbrica ricevuto da remoto. Per questa ragione il costruttore aveva consigliato a tutti di scollegare i NAS personali da Internet.
I report degli esperti di sicurezza indicano che la prima vulnerabilità sembra sia dovuta a un errore della società. Lo script PHP che effettua il ripristino alle condizioni di fabbrica, cancellando tutti i file e i backup memorizzati sulle unità, non era protetto dalla richiesta di autenticazione che richiede nome utente e password per procedere. Sembra che le linee di codice che gestiscono l’autenticazione fossero disabilitate. Se questo venisse confermato non si tratterebbe di buona pubblicità per il marchio.
Ma la vulnerabilità numero uno sfruttata per effettuare questo attacco, indicata dagli esperti di sicurezza risale al 2018, come riporta Ars Technica. Occorre però ricordare che Western Digital ha interrotto il supporto per My Book Live nel 2015, quindi tre anni prima della scoperta del problema. Rimane ancora molto da chiarire sia sull’attacco che sulle dinamiche.
Per esempio non risulta chiaro perché, pur essendo più che sufficiente solo la prima vulnerabilità per sferrare l’attacco, sia anche stata sfruttata la seconda, quella dell’assenza di autenticazione utente. Per questa ragione al momento l’ipotesi che sembra spiegare l’azzeramento di WD My Book Live con un comando da remoto è quella che vede all’opera due gruppi di hacker in competizioni tra loro.
Tutti gli articoli di macitynet che parlano di Western Digital sono disponibili da questa pagina.
