I nostri device sono sempre più interconnessi e, seppur questo spesso sia fatto per garantire un’estrema comodità, spesso può rivelarsi un grosso problema.

E’ il caso di quel che è successo verso la fine del mese scorso in Western Digital, per lo meno per i proprietari dei dischi di rete WD My Book Live. Un utente, svegliatosi una bella mattina, ha fatto un’agghiacciante scoperta:

I have a WD mybook live connected to my home LAN and worked fine for years […] I have just found that somehow all the data on it is gone today, while the directories seem there but empty. Previously the 2T volume was almost full but now it shows full capacity.

Ho un WD MyBook Live connesso alla mia rete casalinga ed ha funzionato bene per anni […] Ho appena scoperto che in qualche modo oggi tutti i dati sono spariti, le directory sembrano presenti ma vuote. Precedentemente il volume da 2T era quasi pieno ma adesso mostra tutta la capacità disponibile.

Insomma, i dati c’erano ed ad un tratto puff, spariti. Sembra che ci sia stato un malfunzionamento del dispositivo specifico, ma poco dopo nel thread di supporto di Western Digital sono accorsi altri utenti con il medesimo problema. Dati spariti e tentativi di login all’interfaccia di gestione falliti per utente/password errati (anche con quelli di default).

Qualche utente più “agile” di altri ha pure postato un log che mostrava una serie di operazioni non richieste:

Jun 23 15:14:05 MyBookLive factoryRestore.sh: begin script:
Jun 23 15:14:05 MyBookLive shutdown[24582]: shutting down for system reboot
Jun 23 16:02:26 MyBookLive S15mountDataVolume.sh: begin script: start
Jun 23 16:02:29 MyBookLive : pkg: wd-nas Jun 23 16:02:30 MyBookLive : pkg: networking-general
Jun 23 16:02:30 MyBookLive : pkg: apache-php-webdav Jun 23 16:02:31 MyBookLive : pkg: date-time
Jun 23 16:02:31 MyBookLive : pkg: alerts Jun 23 16:02:31 MyBookLive logger: hostname=MyBookLive Jun 23 16:02:32 MyBookLive : pkg: admin-rest-api

In pratica: avvio di uno script (che dal nome sembra resettare alle impostazioni di fabbrica il dispositivo), seguito da un riavvio dello stesso. Ma come è potuto succedere?

Innanzi tutto cerchiamo di capire di che dispositivo si tratta. La serie My Book di Western Digital è una linea di dischi esterni che si collegano normalmente via USB al proprio PC, scelta di molti utenti come soluzione di backup o per spostare su di essi dati acceduti meno di frequente. Diversi anni fa nella linea è entrato il My Book Live, una versione di questo disco da collegare comodamente alla propria rete casalinga e che permetteva, oltre al suo normale uso, di accedere al contenuto del disco da ovunque tramite l’infrastruttura cloud di Western Digital. Copi un file sul disco di casa, ci accedi comodamente da ovunque tu ti trova, molto comodo.

Nonostante la Western Digital abbia smesso di supportare il My Book Live nel 2015, molti utenti ancora utilizzano quel sistema, e questo enorme problema ha portato l’azienda stessa a fare un comunicato ufficiale:

The incident is under active investigation from Western Digital. We do not have any indications of a breach or compromise of Western Digital cloud services or systems. We have determined that some My Book Live devices have been compromised by a threat actor. In some cases, this compromise has led to a factory reset that appears to erase all data on the device. The My Book Live device received its final firmware update in 2015. At this time, we are recommending that customers disconnect their My Book Live devices from the Internet to protect their data on the device.

L’incidente è sotto attiva investigazione da parte di Western Digital. Non abbiamo indicazioni di una violazione o compromissione dei sistemi e servizi del Western Digital cloud. Abbiamo determinato che alcuni dispositivi My Book Live sono stati compromessi da un attore malevolo. In alcuni casi, questa compromissione ha portato ad un reset alle impostazioni di fabbrica che sembra aver cancellato tutti i dati dal dispositivo. I dispositivi My Book Live hanno ricevuto il loro ultimo aggiornamento firmware nel 2015. Al momento, raccomandiamo ai clienti di scollegare i dispositivi My Book Live da internet per proteggere i dati sui loro device.

Brutta storia quindi: device compromessi e resettati, pare nessun problema sui servizi cloud dell’azienda stessa, ma è tutto molto vago e la società californiana non sa dare una spiegazione precisa a quel che è successo (o che sta ancora succedendo).

Certo, il fatto che questi dispositivi non vengano più aggiornati dal 2015 un pochino potrebbe far pensare su quanto possa essere sicuro tenerli collegati ad internet ma, obiettivamente, quanti dispositivi “smart” abbiamo in casa di cui non ricordiamo quando è stato l’ultimo update effettuato? Siamo sicuri di essere sicuri?

Ma la domanda vera è: se un dispositivo è fuori supporto, ed alcuni anni dopo dall’ultimo update esce una CVE che mostra proprio una vulnerabilità simile (CVE-2018-18472) anche se non proprio identica (la nuova è disponibile come CVE-2021-35941), chi è realmente il responsabile sulla mancata reazione a questa situazione? Western Digital teoricamente non supporta più il dispositivo, ma ci aspettiamo davvero che un utente “casalingo” si informi a riguardo? Dovrebbe essere l’azienda stessa a comunicare ai propri utenti la situazione di pericolo in cui si trovano i loro dati o non ne è più responsabile? Un aggiornamento per risolvere il problema non si poteva prevedere nei due anni intercorsi dalla pubblicazione della CVE (di Maggio 2019) ad oggi?

Siamo curiosi di sapere la vostra opinione!

Se avete un disco di uno dei modelli indicati nella pagina pubblicata da Western Digital, il nostro consiglio è ovviamente quello di scollegarlo dalla rete il prima possibile e, magari, valutare un qualcosa egualmente affidabile ma senza il collegamento ad internet per salvare i vostri preziosi dati.

Matteo Cappadonna

Utente Linux/Unix da più di 20 anni, cerco sempre di condividere il mio know-how; occasionalmente, litigo con lo sviluppatore di Postfix e risolvo piccoli bug in GNOME. Adoro tutto ciò che può essere automatizzato e reso dinamico, l’HA e l’universo container. Autore dal 2011, provo a condividere quei piccoli tips&tricks che migliorano il lavoro e la giornata.