Problème de sécurité : le gestionnaire de sites cloud affiche les consoles d’autres utilisateurs au lieu de la mienne

 (community.ui.com)
1 points par GN⁺ 2023-12-16 | 1 commentaires | Partager sur WhatsApp

Problème de sécurité du gestionnaire de sites cloud : les consoles d’autres utilisateurs s’affichent chez moi

  • Un utilisateur s’est connecté à https://unifi.ui.com/consoles pour accéder à sa console comme d’habitude, mais 88 consoles appartenant à d’autres comptes se sont affichées.
  • Il disposait d’un accès complet à ces consoles et pouvait les utiliser comme si c’étaient les siennes.
  • Ce n’est qu’après avoir forcé l’actualisation du navigateur que sa propre console est réapparue.

Réactions et discussions de la communauté

  • Ce problème n’a pas été signalé pour la première fois, mais en essayant de retrouver des publications précédentes, il n’a pas été possible de trouver de réponse.
  • UI-Marcus de Team Ubiquiti a demandé des informations supplémentaires par message direct afin de mieux comprendre la situation.
  • Certains utilisateurs soulignent qu’une telle réaction est insuffisante et estiment qu’il faudrait reconnaître officiellement le problème et fournir des mises à jour régulières.
  • D’autres estiment qu’il faut suivre un protocole strict de communication en cas d’incident et font confiance à l’équipe UI pour travailler à la résolution du problème.
  • Une demande a aussi été faite pour que l’application mobile soit mise à jour afin de pouvoir se connecter directement via une adresse IP statique, et ainsi permettre un accès sans passer par le cloud.

L’avis de GN⁺

  • Cet incident met en lumière les vulnérabilités de sécurité des services basés sur le cloud et souligne l’importance de la protection des données et de la confidentialité des utilisateurs.
  • Les réactions de la communauté fournissent un retour en temps réel aux équipes produit et sécurité, et montrent l’importance d’une approche collaborative pour résoudre les problèmes rencontrés par les utilisateurs.
  • Cet article intéressera les personnes concernées par la sécurité logicielle et réseau, tout en offrant un aperçu des interactions au sein de la communauté technique et du processus de résolution des problèmes.

À lire aussi

1 commentaires

 
GN⁺ 2023-12-16
Commentaire Hacker News

  • Avis d’un ancien employé d’Ubiquiti :

    • Aux débuts, Ubiquiti avait des problèmes, mais comptait beaucoup de personnes intelligentes et travailleuses.
    • Les gens étaient surpris d’apprendre que l’entreprise avait si peu d’employés lorsqu’elle faisait connaître Ubiquiti et UniFi à grande échelle.
    • Après que le CEO a réorganisé l’entreprise autour des bureaux de Portland et de Chine, la société a progressivement décliné.
    • Les designers UX de Portland voulaient tout rendre plus élégant sans comprendre comment les produits étaient utilisés.
    • À Portland se trouvait aussi Nick Sharp, responsable du cloud, qui a fait chanter l’entreprise et menti à la presse au sujet du piratage.
    • Le bureau chinois a créé le produit raté FrontRow ; ces équipes étaient censées devenir les futurs dirigeants de l’entreprise, mais toutes leurs tentatives ont été désastreuses.
    • L’équipe cloud a vu des départs et des licenciements, au point qu’on ne sait même plus qui gère actuellement le cloud.
    • Il espère que l’entreprise retrouvera la bonne direction.

  • Avis d’un utilisateur ayant déployé un réseau UniFi :

    • Il a mis en place un réseau UniFi il y a 6 à 7 ans, et le matériel paraissait extrêmement robuste.
    • Le matériel était effectivement bon, mais le logiciel était presque impossible à utiliser.
    • Le logiciel semblait conçu pour impressionner la direction, sans être adapté à un usage réel.
    • Même pour configurer un simple réseau domestique, cela a pris plusieurs jours, et une fois en place, il n’y a plus touché.
    • UniFi est en théorie le système qu’il souhaite, mais si le logiciel n’est pas convivial, la qualité du matériel ne sert à rien.

  • Avis sur le subreddit Ubiquiti :

    • Le cloud, c’est comme des toilettes publiques : c’est privé, mais il y a toujours du monde autour.
    • La consigne de tout mettre dans le cloud lui rappelle l’incident où Dropbox avait déployé un changement ignorant les mots de passe.
    • Explication de la manière de désactiver l’accès distant au routeur.
    • Question sur l’utilisation d’un CDN et mention des problèmes que cela a entraînés.
    • Indications pour désactiver l’accès distant pour les personnes utilisant un UDMP.
    • Interrogation sur la raison pour laquelle les données transitant par les serveurs d’Ubiquiti ne sont pas chiffrées de bout en bout.
    • Lien vers la déclaration officielle d’Ubiquiti.