QNAP:s påtvingade säkerhetsuppdatering stoppade ransomware, men vissa användare är arga
Varför det är viktigt: Förra månaden stod QNAP inför en säkerhetskris när en ransomware-grupp riktade in sig på sina kunders nätverksanslutna lagringsenheter (NAS). Den utfärdade en säkerhetsuppdatering som åtgärdade problemet. Men korrigeringen orsakade oväntade biverkningar för vissa.
Taiwan-baserade QNAP Systems har varit tvungna att förklara hur och varför det tvingade några av sina kunder att uppdatera mjukvaran för sina NAS-system. Även om det fanns ett tydligt behov av att stoppa ransomware som redan nått tusentals QNAP-lagringssystem, ansåg många användare att de borde ha fått ett val på grund av var och ens unika situation.
Problemen började i januari när Deadbolt ransomware-gruppen började infektera QNAP-enheter med skadlig kryptering. Enligt Malwarebytes erbjöd Deadbolt varje drabbad användare en dekrypteringsnyckel för 0,03 bitcoin (cirka $1100). Samtidigt försökte man också sälja QNAP en universell dekrypteringsnyckel och detaljerna om nolldagsexploatet Deadbolt som användes för 50 bitcoins (nästan 2 miljoner dollar).
Mot slutet av januari, efter att ha utfärdat en varning till sina användare, utfärdade QNAP en automatisk säkerhetsuppdatering som åtgärdade exploateringen. Men det gjorde det på ett sätt som uppdaterade vissa användares system även om de hade inaktiverat automatisk uppdatering, vilket gjorde vissa arg .
Vissa användare kan ha kört avgörande processer, som den automatiska uppdateringen kan ha avbrutit. Några av offren för ransomware som hade betalat lösen men fick uppdateringen innan de dekrypterade sina filer kunde inte längre använda nycklarna de fick från Deadbolt. Nyare versioner av QNAP:s programvara kan också ha brutit andra funktioner.
Den globala uppdateringen tillåts eftersom QNAP har två nivåer av automatiska uppdateringar: en inställning för att hålla ett system uppdaterat till den senaste versionen och en för att hålla det uppdaterat till en "rekommenderad version." Företaget utfärdade säkerhetsuppdateringen genom att ändra vilken iteration som rekommenderades. Vissa användare som gick igenom flera systemuppdateringar i följd kan ha inaktiverat automatisk uppdatering till den senaste versionen men inte känt till de automatiska uppdateringarna till den rekommenderade versionen.
Det här systemet är designat för att ge flexibilitet, men teknikföretag svarar vanligtvis på liknande problem genom att helt enkelt berätta för användarna om en säkerhetsuppdatering och starkt rekommendera att de tillämpar den. Åtminstone på det sättet skulle användarna ha behållit kontrollen över hur och när programvaran uppdaterades.