Er zit een backdoor in mijn NAS, mag ik mijn geld terug?

Bron: D-Link DNS-340L ShareCenter + 4-Bay Cloud Network Storage Enclosure Reviewed

Een lezer vroeg me:

Ik zit met het volgende. Ik heb dus een D-Link NAS waar een backdoor account in aanwezig is. Nu begrijp ik heel goed dat software en andere producten beveiligingslekken bevatten. Maar een backdoor account voeg je als fabrikant toch echt zelf toe. Kan ik een partij als D-Link (en genoeg anderen helaas) hier aansprakelijk voor houden? Het liefst wil ik gewoon mijn geld terug of een product zonder backdoor.
Hier werd inderdaad recent voor gewaarschuwd: “Het betreft een command injection-kwetsbaarheid en het gebruik van hardcoded credentials, of een ‘backdoor account’ zoals D-Link het noemt. Via de kwetsbaarheden kan een aanvaller zonder authenticatie willekeurige commando’s op het NAS-systeem uitvoeren, wat kan leiden tot toegang tot gevoelige informatie, het aanpassen van de systeemconfiguratie of een denial of service.”

De hardcoded credentials ware geen bewuste feature, maar een slordigheid: hierachter zit een typische Unix-constructie die alleen niet goed is geïmplementeerd. Maar uiteindelijk doet het er niet toe of het opzet, roekeloosheid, onoplettendheid of iets anders was. Die backdoor zit er, het product is daardoor niet veilig, wat kun je daarmee als consument?

Het simpele antwoord is natuurlijk: je mag van een product verwachten dat dit aan de redelijke verwachtingen voldoet. Dat wil niet zeggen dat het altijd 100% foutloos en backdoorloos is, je moet kijken hoe het product wordt gemarket, hoe eenvoudig de fout te exploiteren is en in hoeverre D-Link dit had moeten voorzien. Niet elke fout is een conformiteitsgebrek.

Toch denk ik dat je bij een enorme impact zoals hier je wel een goed verhaal hebt dat het product niet voldoet aan de redelijke verwachting. Zó makkelijk binnendringen, dat moet niet kunnen bij zo’n belangrijk product. Maar dit wordt al snel een moeilijke technische discussie, waar je niet makkelijk uitkomt als de wederpartij betaald wordt om het met je oneens te zijn.

In de nabije toekomst zullen we met wetten als de Cyber Resilience Act dit een stuk makkelijker aan kunnen pakken. Die stellen updates en een kwalitatief proces van security verplicht. Er is dan weinig nuance meer als er dan toch een securityfout doorheen glipt.

Als laatste blijf je natuurlijk met het aloude probleem in het consumentenrecht dat de winkel (die jij moet aanspreken en die wettelijk verplicht is jou je geld terug te geven, nu herstel geen optie meer is omdat de NASsen end-of-life zijn) simpelweg weigert dat te doen met meestal een excuus zoals “er zit maar 2 jaar garantie op” of “het lampje gaat aan dus hij is niet stuk”. En daarna komt security jou eruit zetten want stemverheffing triggert Protocol Lastige Klant. Het kan dus een hele toer zijn om je recht te halen als consument, en de vraag is altijd of dat het waard is gezien de prijs van het ding.

Arnoud

5 reacties

    1. D-Link stelt dat de betreffende NAS-systemen end-of-life zijn en niet meer worden ondersteund.

      Op https://tweakers.net/pricewatch/346904/d-link-sharecenter+-dns-327l-2-bay-cloud-network-storage-enclosure.html zie ik dat ze tot april 2021 in een NL winkel werden verkocht. Sja. Misschien mag je bij goedkoop consumentenspul niet veel verwachten, maar een dergelijke bug voor een slechts vier jaar oud apparaat (*) niet oplossen, dat is kwalijk… Zeker als je bedenkt dat die consument juist op die NAS de familiefoto’s en backups zal hebben gestald. Geen goede reclame – als de gemiddelde doelgroep van dergelijke apparaten dit soort informatie zou interesseren of zien, en/of weet hoe firmware te updaten.

      *) ja ik weet het, de fabrikant zal vast rekenen vanaf de eerste dag dat er 11 jaar geleden een uit de fabriek rolde. Maar daar heeft de consument die in 2021 een winkel in stapt niets aan.

  1. Persoonlijk hoop ik al jaren op het aansprakelijkheids- en consumentenrecht als wapen om brakke beveiliging te voorkomen. Niet makkelijk te realiseren in een individueel geval, maar met een beetje massa en de WAMCA in de hand moet er toch een doorbaak te forceren zijn?

  2. Tja, wat ik mij nu afvraag is of je de fabrikant verantwoordelijk kunt houden voor de ontstane schade. Want als gebruiker kun je nu beweren dat de backdoor is misbruikt en al jouw data door een Russische hacker zijn gehackt en er gevoelige data nu online wordt gedeeld. Dat moet je dan wel aannemelijk maken maar als je met een datalek te maken hebt gehad dan is dit aannemelijk. In plaats van de medewerker de schuld geven die een klant toegang heeft gegeven stel je dan de fabrikant van de D-Link verantwoordelijk, met een behoorlijk hoge rekening. Daarbij maakt het niet uit of de garantie wel of niet is verlopen. Het apparaat is de oorzaak van een datalek, dus de fabrikant mag betalen. De fabrikant mag dan proberen aan te tonen dat het niet door deze backdoor is gekomen en dat is best lastig. Sowieso zit ik zelf in een situatie waarbij ik geen afhankelijkheden van cloud-diensten mag hebben dus bij mij gaat dit niet op. Best lastig als software ontwikkelaar want node.js heb ik wegens kwetsbaarheden al moeten uitsluiten. En Microsoft Azure kan dus ook niet. Sowieso is Microsoft Windows en SQL Server al lastig, omdat deze “diagnostische informatie” willen terugsturen. De nieuwste SQL Server heeft daarnaast kennelijk nog een paar extra Cloud-diensten. En Microsoft Edge bleek laatst hun chatbot te installeren op Windows Server edities, wat weer een clouddienst is. Al deze clouddiensten op Windows dwingen mij eigenlijk steeds meer richting Linux of BSD. En ook daar is het nog best goed opletten. Want als klanten eisen dat ik een veilige ontwikkelomgeving gebruik zonder Cloud-afhankelijkheden dan is dat best irritant. Wel goed betaald, maar best irritant. Maar goed, ik heb een Synology NAS en hoewel die ook met een clouddienst wil koppelen, zit deze achter enkele lagen routers en switches zonder directe Internet-toegang. Scheelt weer… 🙂 Maar om Cloud-vrij te blijven in 2024 is best lastig en gaat steeds lastiger worden. Dus wat kun je juridisch dan doen als fabrikanten van software en hardware je steeds meer afhankelijk maken van de Cloud?

    1. Strikt genomen heb je geen directe relatie met de fabrikant, maar alleen met je leverancier. Die leverancier kun je aanspreken als hetgeen wat hij levert niet doet wat jij vraagt. Het helpt enorm als je op papier gezet hebt wat jij wil (moet) hebben, zowel voor de leverancier om te leveren wat jij nodig hebt en bij geschillen als bewijsmateriaal.

      Probleem blijft natuurlijk dat een leverancier zijn spullen ook ergens vandaan moet halen… (Ik gebruik al jaren naar alle tevredenheid Debian Linux, geen gedoe met commerciële bedrijven.)

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.