ปัญหาด้านความปลอดภัย: Cloud Site Manager แสดงคอนโซลของคนอื่นแทนของฉัน

 (community.ui.com)
1 คะแนน โดย GN⁺ 2023-12-16 | 1 ความคิดเห็น | แชร์ทาง WhatsApp

ปัญหาด้านความปลอดภัยของ Cloud Site Manager: คอนโซลของผู้ใช้อื่นแสดงขึ้นกับฉัน

  • ผู้ใช้เข้าสู่ระบบที่ https://unifi.ui.com/consoles ตามปกติเพื่อเข้าถึงคอนโซลของตนเอง แต่กลับเห็นคอนโซล 88 เครื่องของบัญชีอื่นแสดงขึ้นมา
  • ผู้ใช้มีสิทธิ์เข้าถึงคอนโซลเหล่านั้นได้อย่างสมบูรณ์ และสามารถใช้งานได้ราวกับเป็นคอนโซลของตนเอง
  • คอนโซลของตนเองกลับมาแสดงอีกครั้งหลังจากบังคับรีเฟรชเบราว์เซอร์เท่านั้น

ปฏิกิริยาและการถกเถียงในชุมชน

  • มีการชี้ว่าปัญหานี้ไม่ใช่ครั้งแรกที่ถูกหยิบยกขึ้นมา และแม้จะพยายามค้นหาโพสต์ก่อนหน้า ก็ไม่พบคำตอบ
  • UI-Marcus จาก Team Ubiquiti ได้ส่งข้อความส่วนตัวเพื่อขอข้อมูลเพิ่มเติมและทำความเข้าใจสถานการณ์ให้ดียิ่งขึ้น
  • ผู้ใช้บางรายชี้ว่าการตอบสนองเช่นนี้ยังไม่เพียงพอ และควรมีการยอมรับปัญหาอย่างเป็นทางการพร้อมอัปเดตอย่างสม่ำเสมอ
  • ผู้ใช้อีกรายมองว่าเมื่อเกิดเหตุการณ์เช่นนี้ ควรปฏิบัติตามโปรโตคอลการสื่อสารที่เข้มงวด และเชื่อว่าทีม UI กำลังพยายามแก้ไขปัญหาอยู่
  • มีคำขอให้อัปเดตแอปมือถือให้สามารถเชื่อมต่อโดยตรงผ่านที่อยู่ IP แบบคงที่ได้ เพื่อให้เข้าถึงได้แม้ไม่ต้องพึ่งคลาวด์

ความเห็นของ GN⁺

  • เหตุการณ์นี้เผยให้เห็นช่องโหว่ด้านความปลอดภัยของบริการบนคลาวด์ และตอกย้ำความสำคัญของการปกป้องข้อมูลและความเป็นส่วนตัวของผู้ใช้
  • ปฏิกิริยาของชุมชนเป็นการให้ฟีดแบ็กแบบเรียลไทม์แก่ทีมพัฒนาผลิตภัณฑ์และทีมความปลอดภัย พร้อมแสดงให้เห็นความสำคัญของแนวทางการทำงานร่วมกันในการแก้ปัญหาที่ผู้ใช้เผชิญ
  • บทความนี้น่าจะน่าสนใจสำหรับผู้ที่สนใจซอฟต์แวร์และความปลอดภัยเครือข่าย และมอบมุมมองต่อปฏิสัมพันธ์และกระบวนการแก้ปัญหาในชุมชนเทคโนโลยี

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2023-12-16
ความเห็นจาก Hacker News

  • ความเห็นจากอดีตพนักงาน Ubiquiti:

    • ช่วงแรกของ Ubiquiti มีปัญหาอยู่บ้าง แต่มีคนเก่งและขยันทำงานจำนวนมาก
    • ผู้คนมักประหลาดใจที่ตอนบริษัททำให้ Ubiquiti และ UniFi เป็นที่รู้จักอย่างกว้างขวางนั้น มีพนักงานอยู่ไม่มาก
    • หลังจาก CEO ปรับโครงสร้างบริษัทโดยย้ายศูนย์กลางไปที่สำนักงานพอร์ตแลนด์และจีน บริษัทก็ค่อย ๆ ถดถอยลง
    • นักออกแบบ UX ที่พอร์ตแลนด์พยายามออกแบบทุกอย่างให้ดูสวยขึ้น ทั้งที่ไม่เข้าใจวิธีใช้งานผลิตภัณฑ์
    • ที่พอร์ตแลนด์ยังมี Nick Sharp หัวหน้าฝ่ายคลาวด์ ผู้ข่มขู่บริษัทและโกหกสื่อเกี่ยวกับการแฮ็ก
    • สำนักงานที่จีนเป็นผู้สร้างผลิตภัณฑ์ FrontRow ที่ล้มเหลว และคนกลุ่มนี้เคยถูกวางให้เป็นผู้นำอนาคตของบริษัท แต่ทุกความพยายามกลับกลายเป็นหายนะ
    • ทีมคลาวด์มีคนลาออกหรือถูกปลดจนตอนนี้ไม่รู้ด้วยซ้ำว่าใครเป็นคนดูแลคลาวด์อยู่
    • หวังว่าบริษัทจะกลับมาเดินในเส้นทางที่ถูกต้องได้อีกครั้ง

  • ความเห็นจากผู้ใช้ที่เคยติดตั้งเครือข่าย UniFi:

    • ได้ติดตั้งเครือข่าย UniFi เมื่อ 6~7 ปีก่อน และฮาร์ดแวร์ดูแข็งแรงทนทานมาก
    • ตัวฮาร์ดแวร์ดีจริง แต่ซอฟต์แวร์แทบใช้งานไม่ได้เลย
    • ซอฟต์แวร์ถูกออกแบบมาเพื่อให้ดูน่าประทับใจสำหรับผู้บริหาร แต่ไม่เหมาะกับการใช้งานจริง
    • แค่ตั้งค่าโฮมเน็ตเวิร์กแบบง่าย ๆ ก็ใช้เวลาหลายวัน และพอตั้งค่าเสร็จครั้งหนึ่งแล้วก็ไม่อยากแตะอีกเลย
    • ในทางทฤษฎี UniFi คือระบบที่ต้องการ แต่ถ้าซอฟต์แวร์ไม่เป็นมิตรกับผู้ใช้ คุณภาพฮาร์ดแวร์ก็ไม่มีความหมาย

  • ความเห็นในซับเรดดิต Ubiquiti:

    • คลาวด์ก็เหมือนห้องน้ำสาธารณะ คือเป็นพื้นที่ส่วนตัวแต่ก็มีคนอยู่รอบ ๆ ตลอดเวลา
    • คำว่าให้อัปขึ้นคลาวด์ทำให้นึกถึงเหตุการณ์ที่ Dropbox ใช้การเปลี่ยนแปลงซึ่งทำให้ไม่ต้องสนใจรหัสผ่าน
    • มีคำอธิบายเกี่ยวกับวิธีปิดการเข้าถึงเราเตอร์จากระยะไกล
    • มีการถามว่าใช้ CDN หรือไม่ และกล่าวถึงปัญหาที่เกิดขึ้นจากเรื่องนี้
    • มีคำแนะนำวิธีปิดการเข้าถึงจากระยะไกลสำหรับผู้ที่ใช้ UDMP
    • มีการตั้งคำถามว่าทำไมข้อมูลที่ผ่านเซิร์ฟเวอร์ของ Ubiquiti จึงไม่ได้ถูกเข้ารหัสแบบ end-to-end
    • มีการให้ลิงก์ไปยังแถลงการณ์อย่างเป็นทางการของ Ubiquiti