セキュリティ問題: クラウドサイトマネージャーで自分のコンソールではなく他人のコンソールが表示される

 (community.ui.com)
1 ポイント 投稿者 GN⁺ 2023-12-16 | 1件のコメント | WhatsAppで共有

クラウドサイトマネージャーのセキュリティ問題: 他ユーザーのコンソールが自分に表示される

  • ユーザーがいつも通り自分のコンソールにアクセスするため https://unifi.ui.com/consoles にログインしたところ、別アカウントの88台のコンソールが表示された。
  • それらのコンソールに対して完全なアクセス権を持ち、自分のコンソールのように利用できた。
  • ブラウザを強制リロードして初めて、自分のコンソールが再び表示された。

コミュニティの反応と議論

  • この問題が提起されたのは今回が初めてではなく、過去の投稿を探したが回答は見つからなかった。
  • Team Ubiquiti の UI-Marcus がダイレクトメッセージで追加情報を求め、状況をよりよく把握しようとしている。
  • 一部のユーザーは、このような対応では不十分だと指摘し、問題を公式に認めて定期的な更新を提供すべきだと主張している。
  • 別のユーザーは、インシデント発生時には厳格なコミュニケーション手順に従うべきであり、UIチームが問題解決に向けて取り組んでいると信頼している。
  • モバイルアプリが静的IPアドレスに直接接続できるよう更新し、クラウドなしでもアクセス可能にしてほしいという要望がある。

GN⁺の見解

  • この出来事はクラウドベースのサービスにおけるセキュリティ上の脆弱性を浮き彫りにし、ユーザーデータ保護と個人情報セキュリティの重要性を強調している。
  • コミュニティの反応は製品開発チームとセキュリティチームにリアルタイムのフィードバックを提供し、ユーザーが直面する問題を解決するための協調的なアプローチの重要性を示している。
  • この投稿は、ソフトウェアおよびネットワークセキュリティに関心のある人々にとって興味深く、技術コミュニティ内での相互作用と問題解決の過程に関する洞察を提供する。

関連記事

1件のコメント

 
GN⁺ 2023-12-16
Hacker Newsの意見

  • 元Ubiquiti社員の意見:

    • 初期のUbiquitiには問題もあったが、賢くてよく働く人が多かった。
    • 会社がUbiquitiとUniFiを広く知らしめた当時、社員数が少なかったことに人々は驚く。
    • CEOがポートランドと中国オフィス中心に会社を再編した後、会社は徐々に衰退した。
    • ポートランドのUXデザイナーたちは、製品の使い方を理解しないまま、すべてをより見栄えよくデザインしようとしていた。
    • ポートランドには、会社を脅迫し、ハッキングについてメディアに虚偽を語ったクラウド責任者のNick Sharpもいた。
    • 中国オフィスは失敗したFrontRow製品を作り、彼らは会社の将来のリーダーになる予定だったが、あらゆる試みが惨事だった。
    • クラウドチームでは人が辞めたり解雇されたりしており、今では誰がクラウドを管理しているのかすら分からない。
    • 会社が再び正しい道に戻ることを願う。

  • UniFiネットワークを構築したユーザーの意見:

    • 6〜7年前にUniFiネットワークを構築し、ハードウェアは非常に堅牢に見えた。
    • ハードウェアは実際によかったが、ソフトウェアはほとんど使いものにならなかった。
    • ソフトウェアは経営陣に印象よく見えるよう設計されていたが、実際の利用には適していなかった。
    • シンプルなホームネットワークの設定にも数日かかり、一度設定した後は二度と触らなかった。
    • UniFiは理論上は求めていたシステムだが、ソフトウェアがユーザーフレンドリーでなければ、ハードウェアの品質は無意味だ。

  • Ubiquitiサブレディットでの意見:

    • クラウドは公衆トイレのようなもので、私的ではあるが常に周囲に人がいる。
    • クラウドに上げろと言われると、Dropboxがパスワードを無視する変更を適用した事件を思い出す。
    • ルーターのリモートアクセスを無効化する方法の説明。
    • CDNを使っているのかという質問と、それによって発生した問題への言及。
    • UDMPを使っている人向けの、リモートアクセスを無効化する方法の案内。
    • Ubiquitiサーバー経由のデータが、なぜエンドツーエンドで暗号化されていないのかという疑問。
    • Ubiquitiの公式声明へのリンクを提供。