Ubiquiti用户报告可访问他人UniFi路由器、摄像头

自昨天起，使用Ubiquiti网络设备的用户，从路由器到安全摄像头等，纷纷报告称他们通过该公司的UniFi云服务看到了其他人的设备和通知。

Ubiquiti是一家受欢迎的网络设备制造商，提供基于云的UniFi平台，管理员可以在单个云门户中管理所有设备。

首次报告这些问题是在昨天早上8点左右，当时一位Ubiquiti客户通过UniFi Protect错误地收到了别人安全摄像头的通知。

Reddit上的一篇帖子写道：“我正在寻求一些关于我们遇到的一个奇怪情况的建议。最近，我的妻子从UniFi Protect收到了一个通知，其中包含一张安全摄像头的图片。”

“然而，情况的转折在于——这个摄像头不属于我们。”

更糟糕的是，另一位Ubiquiti客户表示，当他们登录到UniFi Site Manager门户管理设备时，他们看到了另一个客户账户中的88个设备。

“然而这一次，我看到了另一个账户的88个控制台。我可以完全访问这些控制台，就像访问我自己的一样。只有当我强制浏览器刷新后，我才再次看到我的控制台，”这位UniFi客户解释道。

“这有点令人担忧，其他人有这个问题吗？”

Reddit上的其他用户也有类似经历，他们表示登录后可以访问别人的UDM Pro，并能管理该设备并创建额外的WiFi网络。

在两种情况下，一旦门户网页刷新后，他们就能看到与他们账户通常关联的设备。

当BleepingComputer联系Ubiquiti询问这些问题时，我们被告知他们目前正在收集信息以评估问题的原因。Ubiquiti表示，在审查完成后将发表声明。

员工已经开始在Reddit和公司论坛上收集信息，联系受影响的客户以了解发生了什么。

Reddit上一位Ubiquiti代表的评论写道：“这不是预期的行为。我们通过Reddit Chat联系以收集更多细节，并让我们的领导立即审查。”

一些客户对这是否真的发生表示怀疑，认为应该给Ubiquiti时间来调查问题。

然而，其他客户对Ubiquiti没有公开声明或在公司网络状态页面上列出潜在问题感到沮丧，尤其是考虑到用户报告称他们可以修改他人的网络配置。

由UniFi访问配置错误造成 Ubiquiti发表声明称，允许访问其他客户设备的漏洞是由于对UniFi云基础设施进行升级时的配置错误造成的。

该公司表示，被称为“第1组”的1,216个Ubiquiti账户与被称为“第2组”的1,177个Ubiquiti账户相关联。

这种配置错误使第2组的账户收到了本该发送给第1组账户的通知。此外，当登录到UniFi云管理门户时，第2组账户还能看到第1组客户的设备。

Ubiquiti表示，这一问题发生在12月13日的6:47 AM至3:45 PM UTC之间，并已经得到修复。

该公司仍在调查此事件，但认为只有十二个账户被其他Ubiquiti客户错误访问。错误访问账户的账户持有者将通过电子邮件得到通知。