Recent werden gebruikers van op internet aangesloten harde schijven van Western Digital geconfronteerd met gegevensverlies. Een hacker had de apparaten teruggezet in de fabriekstoestand. Begin juli biedt Western Digital getroffen klanten gegevensherstel en omruilservice aan.

Western Digital heeft vastgesteld dat My Book Live- en My Book Live Duo-apparaten met internetverbinding worden aangevallen door misbruik van meerdere kwetsbaarheden in het apparaat. In sommige gevallen hebben de aanvallers een fabrieksreset geactiveerd die alle gegevens op het apparaat lijkt te wissen.
Om klanten te helpen die gegevens zijn kwijtgeraakt als gevolg van deze aanvallen, zal Western Digital gegevenshersteldiensten aanbieden, die vanaf juli beschikbaar zullen zijn. My Book Live-klanten krijgen ook een inruilprogramma aangeboden om te upgraden naar een ondersteund My Cloud-apparaat.

Beveiligingslek
De My Book Live-firmware heeft een kwetsbaarheid voor opdrachtinjectie die op afstand kan worden misbruikt wanneer externe toegang op het apparaat is ingeschakeld. Dit beveiligingslek kan worden misbruikt om willekeurige opdrachten met rootrechten uit te voeren. Bovendien is de My Book Live kwetsbaar voor een niet-geverifieerde fabrieksreset, waardoor een aanvaller het apparaat zonder authenticatie terug kan zetten naar de fabrieksinstellingen. De kwetsbaarheid voor niet-geverifieerde fabrieksreset is in april 2011 in de My Book Live geïntroduceerd als onderdeel van een refactor van de authenticatielogica in de apparaatfirmware.

Analyse van de aanval
Western Digital heeft de logbestanden bekeken van getroffen klanten. Het blijkt dat de aanvallers rechtstreeks verbinding hebben gemaakt met de getroffen My Book Live-apparaten vanaf verschillende IP-adressen in verschillende landen. Het blijkt dat in sommige gevallen dezelfde aanvaller twee kwetsbaarheden op het apparaat heeft misbruikt. De eerste werd misbruikt om een ​​kwaadaardig binair bestand op het apparaat te installeren, en de tweede werd later misbruikt om het apparaat opnieuw in te stellen.

Gegevens niet gecompromitteerd
Het onderzoek naar het incident heeft geen bewijs opgeleverd dat Western Digital-cloudservices, firmware-updateservers of klantgegevens zijn gecompromitteerd. Omdat de My Book Live-apparaten direct kunnen worden blootgesteld aan internet via poortdoorschakeling, kunnen aanvallers kwetsbare apparaten ontdekken door poortscanning. De kwetsbaarheden die bij deze aanval worden uitgebuit, zijn beperkt tot de My Book Live-serie, die in 2010 op de markt werd gebracht en in 2015 een laatste firmware-update ontving. Deze kwetsbaarheden hebben geen invloed op de huidige My Cloud-productfamilie.