国外网站公布了联想NAS设备面临网络攻击风险,存在严重的固件级漏洞,如果被利用,此漏洞可能会危及这些用户信息的安全性。
该漏洞仅存在于某些型号的NAS设备中,并且允许未经身份验证的用户访问和读取存储在这些驱动器上的数据。此外,通过应用程序编程接口对这些设备进行利用。
安全专家发现至少有5100个易受攻击的设备和300多万个在线暴露的文件,然而,由于联想制造的NAS设备的广泛使用,暴露的用户数量可能要大得多。
据估计,暴露的信息可能达到40TB,其中许多暴露的设备已经被常用的搜索引擎(如Google)编入索引。据报道,一些公开的文件夹包含敏感信息,如支付卡详细信息和其他财务数据。
另一方面,联想公司向这些设备的用户通报了该故障,称其为“允许对NAS共享上的文件进行身份验证访问的严重漏洞”。联想要求易受攻击设备的用户尽快安装固件更新。
据安全专家称,如果用户此时无法将固件更新到最新版本,可能的解决方法是删除任何公共共享,并仅在受信任的网络中使用该设备。
阿明观察分析:针对低端家庭、中小企业用户的NAS设备,在数据安全上出现的问题不止联想一个,之前个人家庭型的低端NAS厂商几乎都出现过类似数据安全问题。
对于目前正在使用NAS用户来说,最好的办法就是对自己连接NAS的网络实行一定的隔离,同时保持NAS固件的自动更新,如果不能自动更新,每隔一段时间需要手动下载更新。
世界上没有绝对安全的NAS设备,数据安全防不胜防,唯有养成一个好的习惯,才能获得更为安全的数据环境。
