Tijdens de internationale hackwedstrijd Pwn20wn in Ierland ontdekte Rick de Jager, een 25-jarige beveiligingsonderzoeker van het Nederlandse bedrijf Midnight Blue, een kritieke kwetsbaarheid in een NAS van Synology. Dat meldt de Volkskrant in een bericht online.
Binnen twee uur slaagde De Jager erin eigen computercode op het apparaat te plaatsen, wat volledige toegang tot de opgeslagen data mogelijk maakte. Dit lek kan miljoenen consumenten en bedrijven wereldwijd in gevaar, inclusief kleine en middelgrote ondernemingen, advocatenkantoren, en overheden.
De kwetsbaarheid blijkt aanwezig in Synology-apparaten, populaire draadloze opslagoplossingen voor zowel consumenten als bedrijven. Hoewel de NAS-apparaten niet direct op het internet zijn aangesloten, maakt een Cloud-verbinding ze alsnog kwetsbaar voor aanvallen. Synology heeft inmiddels maatregelen getroffen en biedt gebruikers een update aan om het lek te dichten.
Zorgwekkend
Rick de Jager, die samen met zijn team bijna 100.000 dollar verdiende voor het ontdekken van deze en andere beveiligingsproblemen, benadrukt de ernst van het probleem. “Dat dit soort veelgebruikte hardware een simpele kwetsbaarheid bevat, is uitermate slordig,” stelt hij. Deze kwetsbaarheid stelt kwaadwillenden in staat om gevoelige data te benaderen en kan leiden tot diefstal van kritieke bedrijfsgeheimen en persoonlijke gegevens, zoals financiële gegevens en back-ups.
Volgens Jos Wetzels, oprichter van Midnight Blue, blijven apparaten zoals NAS, routers en printers kwetsbaar, ondanks de toegenomen aandacht voor cybersecurity. Deze randapparaten zijn vaak slecht beveiligd en daardoor aantrekkelijk voor criminele bendes en statelijke hackers. Gebruikers van Synology-apparatuur wordt aangeraden om zo snel mogelijk de laatste beveiligingsupdates te installeren om zichzelf te beschermen tegen mogelijke aanvallen. Op de website van Midnight Blue is een meer technische uitleg van de kwetsbaarheid te vinden.