Пользователи сетевых устройств Ubiquiti получили доступ к чужим камерам и роутерам в сети UniFi

Ubiquiti производит сетевые устройства, работающие через облачную платформу UniFi, где пользователи могут управлять всем подключённым оборудованием через единый интерфейс.

Впервые о проблеме рассказал пользователь Reddit, который получил уведомление от чужой камеры наблюдения в UniFi Protect. Он отметил, что в списке доступных устройств платформы были указаны только две его камеры.

Другой клиент Ubiquiti обнаружил на портале управления устройствами UniFi Site Manager 88 устройств из учётной записи другого пользователя. Всё пришло в норму только после обновления браузера.

Об аналогичных случаях сообщили другие пользователи Reddit, они имели доступ к чужому оборудованию, могли управлять им и создавать дополнительные сети Wi-Fi. Как и в предыдущем случае, после обновления браузера в интерфейсе оставались только связанные с аккаунтами владельцев устройства.

Ubiquiti собирает информацию для оценки того, что могло вызвать проблемы. Производитель указал, что ошибка связана с неправильной конфигурацией при обновлении облачной инфраструктуры UniFi.

Компания разделила 1216 и 1177 учётных записей Ubiquiti на группу 1 и группу 2. Неправильная конфигурация позволила аккаунтам из второй группы получать уведомления, предназначенные для учётных записей из первой. Также из-за ошибки группа 2 могла видеть устройства аккаунтов группы 1 при входе на портал управления облаком UniFi.

Компания уведомила, что к настоящему времени проблема исправлена. Ubiquiti продолжает расследовать инцидент. Производитель предупредит пользователей, к оборудованию которых получали доступ другие клиенты, по электронной почте.