Princípios importantes
- A Ubiquiti vende roteadores sem fio de última geração e exige que novos clientes criem uma conta online ao configurar o hardware.
- A empresa foi hackeada no que inicialmente chamou de uma pequena violação de segurança, mas que os especialistas dizem ser muito pior do que pequena.
- Especialistas dizem que qualquer hardware que exija uma conta online pode colocar seus dados e sua privacidade em risco.
Ubiquiti, fabricante de hardware de rede rico em recursos, é a mais recente vítima de uma violação de segurança que coloca os dados do cliente em risco.
Ubiquiti é uma das várias empresas a pedir (ou forçar) os clientes a criar uma conta ao configurar um novo hardware. Outros novos roteadores, como o Eero da Amazon e o Nest Wifi do Google, tornam as contas baseadas em nuvem fundamentais para a experiência e não podem ser usadas sem uma conexão.
Sua popularidade encorajou empresas de roteadores mais tradicionais, como Netgear e Linksys, a seguir o exemplo com suas próprias opções hospedadas na nuvem ou baseadas em aplicativos, embora ainda sejam opcionais na maioria dos casos.
"A violação significa apenas que seus dados estão agora nas mãos de outra parte, que não o fornecedor", disse Dong Ngo, editor da Dong Knows Tech e ex-revisor de roteadores da CNET, em uma mensagem direta no LinkedIn.
Ngo acha que contas obrigatórias baseadas em nuvem são más notícias para a privacidade e segurança do cliente, e frequentemente alerta seus leitores sobre os problemas com interfaces baseadas em nuvem.
Quer confiar no seu roteador? Abandone a Nuvem
A violação dos servidores da Ubiquiti é um problema para os clientes porque muitos dos produtos da empresa exigem a criação de uma conta baseada em nuvem. Um exemplo é o Dream Machine, um roteador prosumer que a empresa lançou em 2019.
Ngo considera negativo se um roteador que ele analisa não permitir o uso de uma alternativa controlada localmente. Ele adverte que o hardware de rede que depende de uma conta obrigatória baseada em nuvem deixa os proprietários sem escolha a não ser confiar a privacidade e a segurança a terceiros e limita as opções de um usuário se ocorrer uma violação.
O que, então, um proprietário consciente da segurança deve fazer? "Fique com a interface web local", disse Ngo. "Evite usar um aplicativo móvel."
A melhor opção não é um roteador premium que promete uma interface de nuvem robusta, mas sim um roteador simples e barato com uma interface local acessada por meio de um navegador da web.
Fãs de UniFi têm seus medos confirmados
A violação do servidor baseado em nuvem da Ubiquiti atingiu um ponto sensível para os fãs quando a empresa exigiu que os proprietários da maioria dos dispositivos se inscrevessem em uma conta Ubiquiti durante a configuração. É necessário acessar a plataforma UniFi da empresa, que controla os roteadores da empresa e outros produtos em rede.
A última declaração da Ubiquiti, escrita em resposta a novas alegações em um relatório publicado pelo jornalista de segurança Brian Krebs, foi postada em seu fórum da comunidade em 31 de março.
A declaração repete que os especialistas em resposta a incidentes "não identificaram nenhuma evidência de que as informações do cliente foram acessadas ou mesmo direcionadas". A Ubiquiti continua a trabalhar com a aplicação da lei na identificação do invasor e afirma ter "evidências bem desenvolvidas".
Isso só alimentou o alvoroço no fórum da comunidade da empresa, que funciona como sua principal linha de comunicação com os clientes.
Embora a empresa diga que não há evidências de que os dados dos clientes tenham sido direcionados ou violados, a Ubiquiti não refutou as novas alegações de que não manteve registros adequados de acesso às contas dos clientes em seu serviço de nuvem.
Um cliente postando sob o nome Sonar deixou claro seu desapontamento, dizendo: "É sal extra na ferida que a Ubiquiti está tentando forçar o acesso à nuvem goela abaixo dos pobres [usando produtos UniFi]."
Outros se juntaram, ameaçando boicotar o futuro hardware Ubiquiti se o requisito de conta baseada em nuvem não for descartado em futuras atualizações de firmware.
A postagem da comunidade discutindo o relatório de Krebs recebeu mais de 430 comentários de clientes e 17.000 visualizações. Outro post pedindo que a Ubiquiti disponibilize contas locais recebeu 250 comentários e mais de 12.000 visualizações.
Não está claro o que a Ubiquiti fará para recuperar a confiança dos fãs. A empresa não respondeu ao pedido de comentário da Lifewire e não ofereceu resposta aos clientes em tópicos da comunidade discutindo a violação.
A violação significa apenas que seus dados agora estão nas mãos de outra parte, que não o fornecedor.
O silêncio da Ubiquiti parece confirmar o conselho de Ngo. Um roteador controlado localmente pode certamente ter vulnerabilidades, mas os proprietários pelo menos têm opções.
Os clientes da Ubiquiti enfrentam uma escolha mais difícil: continuar confiando na empresa e esperar que o problema não seja tão grave quanto alegado, ou parar de usar seus produtos completamente.
Esta mesma escolha aguarda os clientes de outros roteadores que dependem de contas baseadas em nuvem. Sua simplicidade e conveniência podem parecer atraentes, mas as opções para os usuários são tudo menos simples quando o serviço de nuvem anexado é violado.