Владельцам некоторых внешних жестких дисков Western Digital следует отключить их от Интернета и, возможно, полностью отключить, поскольку продолжают поступать сообщения об удаленном удалении данных. Производитель накопителей подтвердил на прошлой неделе, что некоторые владельцы видели, как к их сетевым хранилищам обращались неофициально и запускался полный сброс.
Пораженными дисками являются WD My Book Live и WD My Book Live Duo. Впервые они были выпущены в 2010 году, а последнее обновление прошивки было получено в 2015 году. Компания не сообщила, сколько из них находится в обращении, и не дала оценку того, сколько людей все еще используют их диски.
«Western Digital определила, что некоторые устройства My Book Live и My Book Live Duo были скомпрометированы из-за использования уязвимости удаленного выполнения команд», — говорится в бюллетене компании по безопасности.
В некоторых случаях злоумышленники запускали сброс к заводским настройкам, который, по всей видимости, стирает все данные на устройстве.
Western Digital настаивает на том, что в настоящее время нет свидетельств того, что ее собственные облачные сервисы, серверы обновления прошивки или учетные данные клиентов были скомпрометированы. Вместо этого предполагается, что накопители My Book Live были атакованы напрямую через Интернет, «либо через прямое соединение, либо через переадресацию портов, которая была включена вручную или автоматически через UPnP». Затем хакеры использовали сканирование портов, чтобы обнаружить потенциальных жертв, предполагает компания.
«Мы еще не понимаем, почему злоумышленник запустил сброс настроек до заводских; однако мы получили образец неисправного устройства и продолжаем расследование», — добавили в Western Digital.
«Кроме того, некоторые клиенты сообщили, что инструменты восстановления данных могут восстанавливать данные с затронутых устройств, и в настоящее время мы изучаем эффективность этих инструментов».
Хотя Western Digital рекомендует владельцам отключать свои диски от Интернета в целях безопасности, предложения пользователей Reddit все же более осторожны. Здесь советуют полностью выключить диски, исходя из предположения, что хакеры уже могли загрузить туда троян или какой-либо другой эксплойт. Затем может быть запланирована активация с очисткой диска, даже если он не подключен к сети в это время.
Хотя это означало бы отсутствие доступа к файлам — и противоречило бы склонности владельцев сделать вторую резервную копию того, что находится на диске My Book Live, как можно скорее — это, вероятно, будет самым безопасным путем, поскольку дальнейшее расследование продолжается.
Для тех, кто хочет попытаться извлечь данные, которые могут остаться после того, как была инициирована полная очистка сброса, ветка Reddit также включает множество дискуссий о том, какие инструменты для этого являются лучшими. Неясно, насколько они эффективны на данном этапе. Если вы не знакомы с программным обеспечением для восстановления данных, возможно, лучше подождать, пока Western Digital не предложит официальный маршрут.
В более широком смысле, любой, кто полагается на сетевые диски, вероятно, должен уделить время тому, чтобы рассмотреть свои настройки безопасности. Открытые порты, настроенные через маршрутизатор или кабельный модем, являются очевидной точкой входа для хакеров, хотя на многих подключенных жестких дисках также есть какое-то программное обеспечение для удаленного доступа, которое использует имя пользователя и пароль, чтобы сделать вход в систему вдали от дома более простым. Если это так, то сейчас самое время проверить надежность этого пароля в дополнение к включению двухфакторной аутентификации, если она предлагается.
