Los usuarios de UniFi, la popular línea de dispositivos inalámbricos del fabricante Ubiquiti, han informado que reciben y controlan transmisiones de cámaras privadas desde los dispositivos de otros usuarios, según muestran publicaciones en el sitio de redes sociales Reddit durante las últimas 24 horas.
«Mi esposa recibió recientemente una notificación de UniFi Protect, que incluía una imagen de una cámara de seguridad», dijo un usuario de Reddit. mencionado. «Sin embargo, aquí está el dilema: esta cámara no nos pertenece».
Provocando preocupación y preocupación
La publicación incluía dos fotografías. El primero mostraba una notificación enviada al teléfono de la persona de que el UDM Pro, un controlador de red y puerta de enlace utilizado por consumidores expertos en tecnología, había detectado a una persona moviéndose en el patio trasero. Un vídeo fijo, grabado por una cámara de vigilancia conectada, mostraba una casa de tres plantas rodeada de árboles. La segunda imagen mostraba el panel del usuario de Reddit. El dispositivo conectado del usuario era un UDM SE y el vídeo capturado mostraba una casa completamente diferente.
Menos de una hora después, otro usuario de Reddit que publicó en el mismo hilo respondió: “Entonces, es muy interesante que hayas publicado esto. Estaba a punto de publicar que cuando entré a unifi.ui.com esta mañana, alguien inició sesión en otra cuenta. ¡Exactamente! ¡Mi correo electrónico estaba en la parte superior derecha, pero UDM Pro es de otra persona! ¡Puedo navegar por el dispositivo y ver y cambiar la configuración! ¡¡Impresionante!! «
Otras dos personas recurrieron al mismo hilo para informar que les había ocurrido un comportamiento similar.
Otros hilos de Reddit se publicaron el día anterior informando que los usuarios de UniFi se conectan a dispositivos privados o feeds propiedad de otros. aquí Y aquí. El primero informó que el usuario de Reddit obtuvo acceso completo al sistema de otra persona. La publicación incluía dos capturas de pantalla que mostraban lo que, según el cartel, era un vídeo tomado para una empresa desconocida. El otro usuario informó haber iniciado sesión en su panel de control de Ubiquiti para encontrar los controles del sistema de otra persona. «Terminé cerrando sesión, borrando mis cookies, etc. y ahora me parece bien…», escribió el cartel.
Alguien más informó el mismo problema en correo Fue publicado en el Foro de soporte de la comunidad de Ubiquiti el jueves, donde se informó esta historia de Ars. La persona informó haber iniciado sesión en la consola UniFi como es su rutina diaria.
«Pero esta vez me ofrecieron 88 controladores de otra cuenta», escribió la persona. «Tenía acceso completo a estos controladores, tal como lo tengo con mis propios controladores. Esto sólo se detuvo cuando forcé una actualización del navegador y mis controladores se renderizaron nuevamente.
En todas partes el jueves Él dijo Identificó el error y corrigió los errores que lo causaron.
«Específicamente, este problema fue causado por una actualización de nuestra infraestructura UniFi Cloud, que ya hemos resuelto», escribieron los funcionarios. Continuaron:
1. ¿Qué pasó?
1.216 cuentas de Ubiquiti (“Grupo 1”) se asociaron incorrectamente con un grupo separado de 1.177 cuentas de Ubiquiti (“Grupo 2”).
2. ¿Cuándo sucedió esto?
13 de diciembre, de 6:47 a. m. a 3:45 p. m. UTC.
3. ¿Qué significa esto?
Durante este tiempo, una pequeña cantidad de usuarios del Grupo 2 recibieron notificaciones automáticas en sus dispositivos móviles desde las consolas asignadas a una pequeña cantidad de usuarios del Grupo 1.
Además, durante este tiempo, es posible que a un usuario del Grupo 2 que intentó iniciar sesión en su cuenta se le haya otorgado acceso remoto temporal a la cuenta del Grupo 1.
Es comprensible que los informes estén causando preocupación e incluso preocupación entre los usuarios de los productos de UniFi, que incluyen puntos de acceso inalámbrico, conmutadores, enrutadores, controladores, teléfonos VoIP y productos de control de acceso. Como puertas de enlace accesibles a Internet para las redes locales de los usuarios, los dispositivos UniFi brindan una forma de acceder a cámaras, micrófonos y otros recursos confidenciales dentro del hogar.
Un participante del foro bromeó: “Creo que debería dejar de caminar desnudo por mi casa ahora”.
Hay que reconocer que los empleados de la empresa respondieron proactivamente a los informes, sugiriendo que los tomaron en serio y comenzaron a investigar activamente desde el principio. El personal dijo que el problema se ha corregido y que ya no se producen confusiones de cuentas.
Es útil recordar que este tipo de comportamiento (iniciar sesión legítimamente en una cuenta sólo para encontrar datos o controles que pertenecen a una cuenta completamente diferente) es tan antiguo como Internet. Ejemplos recientes: error de septiembre de T-Mobile y fallos similares que lo involucran Banco Chase, Virginia Bancos I, Karma crediticioY pique.
Las causas fundamentales exactas de este tipo de error del sistema varían de un incidente a otro, pero a menudo involucran el hardware de la «caja intermedia», que se encuentra entre los dispositivos frontal y posterior. Para mejorar el rendimiento, los middleboxes almacenan ciertos datos, incluidas las credenciales de los usuarios que iniciaron sesión recientemente. Cuando se produce una discrepancia, las credenciales de una cuenta se pueden asignar a una cuenta diferente.
En un correo electrónico, un funcionario de Ubiquiti dijo que los empleados de la empresa todavía estaban recopilando «información para proporcionar una evaluación precisa».
