Frissítve: Komoly veszélyben voltak a Dell-vásárlók
Beláthatatlan veszélyeknek tette ki a felhasználókat a Dell, amikor támadók vették át az irányítást egy hónapra az egyik kulcsfontosságú domén fölött.
"Szinte minden Dell gépen megtalálható a Dell Backup and Recovery alkalmazás" - írja Brian Krebs biztonsági kutató saját blogján, az esetről beszámoló bejegyzésben. "Ennek célja segíteni a felhasználóknak visszaállítani a számítógépet és az adataikat abban az esetben, ha valamilyen probléma lépne fel. Az alkalmazás rendszeresen kapcsolatba lép a dellbackupandrecoverycloudstorage.com doménnel, amely a Dell konzumer mentési, visszaállítási és felhős tárolós megoldásainak központi eleme volt."
A probléma valamikor nyáron kezdődött, amikor a Dell (pontosabban annak szerződéses partnere) elvesztette az irányítást a domén fölött nagyjából egy hónapnyi időszakra. Ezalatt a domén "vitatható tartalmat" jelenített meg, és "vannak jelek arra is, hogy a domén malware-t terjesztett", mielőtt a Dell partnere visszaszerezte volna fölötte az irányítást.
Katasztrofális - lehetett volna
A Dell-partner hanyagsága hihetetlen károkat okozhatott volna a felhasználóknak, szerencsére a támadók nem aknázták ki az adódó lehetőséget. A szoftverbe drótozott domén segítségével ugyanis például fertőzött backupok küldhetőek le a klienseknek - "pont azoknak, akik a malware-től menekülnének a visszaállítás segítségével", jegyzi meg Krebs.
Nagy pénz, nagy szívás: útravaló csúcstámadó IT-soknak Az informatikai vezetősködés sokak álma, de az árnyoldalaival kevesen vannak tisztában.
Az érintettek körét meglehetősen egyszerű belőni: a Dell minden konzumer gépre előtelepíti a Backup and Recovery Basic kiadását, így azok a PC-k, amelyekről a felhasználók ezt kézzel nem távolították el, veszélyben voltak.
Hogy pontosan mi az oka, hogy idegen kézbe került a domén, arról egyelőre nincs információ. Krebs adatai szerint a domént a SoftThinks jegyezte be még 2013-ban. Ez a cég a Dell partnere, amely white label szolgáltatásként fejleszti a mentéseket készítő és visszaállítást lehetővé tévő rendszert. A feltételezés szerint a SoftThinks egyszerűen elfelejtette megújítani a domént, arra pedig valamilyen automatizált rendszer gyorsan lecsapott és a parkoló doménekre szokás szerint ráhúzott, reklámoktól hemzsegő webes felületre irányította át. Szintén feltételezés, de úgy tűnik a támadók nem észlelték, hogy milyen értékes domén birtokába jutottak - ez mentette meg végül a delles felhasználókat.
Frissítés: A Dell is nyilatkozott a kérdésben és elismerte a problémát. A közlemény szerint a DBAR (Dell Backup and Recovery) alkalmazás által használt domén tényleg lejárt valamikor idén, és ezt követően egy harmadik fél szerezte meg fölötte az irányítást. Eközben az alkalmazás nem frissült, az továbbra is a dellbackupandrecoverycloudstorage.com doménen kereste a felhős szolgáltatást. “A hibára figyelmeztették a Dellt és elhárítottuk” - mondja a cég. A Dell “nem hiszi”, hogy a tévedés nyomán adat került volna a harmadik félhez, vagy a harmadik féltől a kliensekhez, beleértve malware leküldését is az eszközökre.