Поэтому если вы пользуетесь роутерами этого производителя то keenetic рекомендует сделать следующие:
Источник на полную новость: Компания Keenetic сообщила об утечке данных пользователей — Хакер
…несанкционированном доступе к БД своего мобильного приложения.
…было раскрыто ограниченное количество полей БД, а именно:
- идентификаторы Keycloak;
- адреса электронной почты (логины) и имена учетных записей Keenetic;
- региональные настройки;
- конфигурации учетных записей пользователей устройств, включая хеши паролей MD5 и NT;
- кастомные имена KeenDNS;
- конфигурации сетевых интерфейсов, включая идентификаторы Wi-Fi SSID и preshared ключи;
- настройки каналов Wi-Fi, идентификаторы и ключи роуминга;
- настройки политик IP и шейпинга трафика;
- адреса удаленных peer’ов, логины и пароли VPN-клиентов, назначенные IP-адреса;
- имена и MAC-адреса зарегистрированных хостов;
- конфигурации IPsec site-to-site;
- конфигурации сервера IPsec Virtual-IP;
- настройки пула DHCP;
- настройки NTP;
- списки доступа IP и MAC.
Очередное подтверждение, что ставить в телефон от всего подряд приложения - зло.
Зачем приложение Keenetic сливает столько конфиденциальных данных своих пользователей себе на сервер, вопрос открыт.
ставить в телефон от всего подряд приложения - зло
Это не с телефона данные (про Keyсloak не в курсе, может, это что-то Apple-специфичное). Это данные с роутеров, для управления которыми приложение и предназначено.
Ну и другого способа, например, удобно рулить меш-сетью просто нет. Заход вручную через веб-интерфейс на каждый узел не предлагать, особенно, когда у вас десяток-другой роутеров в хозяйстве.
Ещё приложуха умеет поднимать тревогу, когда к роутеру подключился клиент, MAC-адрес которого не внесён в список известных (зарегистрированных). Если у роутера нет USB-порта, то это единственный способ иметь такую фичу (если порт есть, можно накостылять что-то похожее через Entware и щелл-скрипты, я такое делал когда-то под OWRT).
Это О каком Приложение… О старом, или О новом
Ориентируйтесь на дату создания учётки.
Если у вас учётка для входа в приложение (старое, новое, не важно) была создана до 16 марта 2023 года, то ой.
А если я только в этом году. Подключил приложение. К роутеру
Значит, вас не задело.
Как понял из новости, данные роутеров утекли при использовании мобильного приложения Keenetic, которое эти самые данные роутеров сливало в БД на сервере Keenetic. И если через мобильное приложение пользователи не подключались к роутеру, то данные не скомпрометированы.
Именно так. Причём, всё случилось ещё в 2023 году и тогда же (16 марта) было устранено, поэтому те, кто начал пользоваться приложением после этой даты, не пострадали. Спустя два года мы об этом узнали (потому что компания в 2025 году обнаружила, что кто-то успел два года назад это всё слить, иначе они бы так и не рассказали об инциденте)
А что точно слили - то есть моя почта теперь привязана в чей то базе к моему роутеру ? Картинка с пингвином говорящим спасибо еще никогда не была такой горькой.
Нет, почта привязана не “к роутеру”, а к набору слитых данных, перечень которых приведён по ссылке. В принципе, все эти данные можно поменять. Кроме MAC-адресов мобильных клиентов (но у них есть рандомизация при подключении к посторонним сетям). Так что, злоумышленники теперь знают, что у владельца почты user@example.com есть смартфон Xiaomi с вот таким-то MAC-адресом. Осталось придумать, какую угрозу это несёт - хотелось бы узнать причину такой особой горечи.
идентификаторы Keycloak;
Не знаю, что это такое, видимо, не связано с роутером.
адреса электронной почты (логины) и имена учетных записей Keenetic;
Собственно почта.
региональные настройки;
Сведения о том, предназначен роутер для евразийского или европейского региона, а также (возможно) часовой пояс. Слегка деанон.
конфигурации учетных записей пользователей устройств, включая хеши паролей MD5 и NT;
Хэш пароля от админки. Не используйте слабые пароли и один и тот же пароль для нескольких ресурсов. Но поменять всё равно стоит, даже если пароль стойкий.
кастомные имена KeenDNS;
Нетрудно поменять, если это критично. Это просто имя домена, которым роутер торчит в интернет. Само по себе сохранение его в тайне не является защитой (безопасность через неизвестность). Безопасность обеспечивается своевременным обновлением прошивки и стойкими паролями.
конфигурации сетевых интерфейсов, включая идентификаторы Wi-Fi SSID и preshared ключи;
Пароль от беспроводной сети следует поменять, благо это несложно. Имя сети тоже поменять нетрудно. Если имя сети попало в какие-то общедоступные базы типа Mozilla Location Service, то можно примерно прикинуть, в каком месте находится роутер, управляемый владельцем почты. Деанон.
настройки каналов Wi-Fi, идентификаторы и ключи роуминга;
Учитывая, что пароль от беспроводной сети уже известен, беспокоится о ключах роуминга смысла нет.
настройки политик IP и шейпинга трафика;
Не несёт угрозы.
адреса удаленных peer’ов, логины и пароли VPN-клиентов, назначенные IP-адреса;
конфигурации IPsec site-to-site;
конфигурации сервера IPsec Virtual-IP;
Неприятно, но, к счастью, можно поменять. И нужно поменять.
имена и MAC-адреса зарегистрированных хостов;
Вычислит вас по MAC-адресу и набьет хлебало (с)
Не несёт угрозы.
настройки пула DHCP;
Не несёт угрозы.
настройки NTP;
Не несёт угрозы (я могу это угадать и без слива - с 99% вероятностью у вас pool.ntp.org).
Вкусное это доступ к Wi-Fi и учётные данные от VPN. Возможно, хэш пароля от админки (если у вас простой пароль, да ещё общий для всех ресурсов - вы эпичный ССЗБ). И это нужно поменять как можно скорее. Остальные данные бесполезны чуть менее, чем полностью. Очень неприятно, что об инциденте сообщили не по факту обнаружения, а тянули два года в надежде, что никто не воспользовался.
А какой в этом смысл? Как злоумышленники смогут подключиться к моему роутеру даже зная логин и пароль
Есть добровольцы, которые устанавливают на телефон программу, которая логгирует все замеченные беспроводные сети и потом выгружает их координаты в общую базу.
Такая база была у Mozilla, чтобы можно было осуществлять геолокацию не только по GPS или сотовым вышкам. Я сам участвовал в её наполнении в те времена, когда эту инициативу ещё не прикрыли.
Такое же есть у Google и Apple. Не знаю, можно ли оттуда выудить координаты сети с произвольным именем. Но если можно и имя сети шибко уникальное, то координаты вашей точки доступа известны, а в сочетании с известным паролем от неё сами понимаете, что. Если вас устраивает, что какой-то мимокрокодил будет иметь доступ в вашу сеть - флаг в руки и барабан на шею.
Кстати, на 4PDA ещё была программа, позволявшая в публичную базу заносить координаты и учётные данные от взломанных / незапароленных точек доступа.
Ну вот я и спрашиваю не теоритически, какова вероятность того что этим кто-то может воспользоваться , она же практически нулевая. Это надо что бы у злоумышленника были навыки, он находился в моем городе и жил рядом со мной что бы подрубиться к моей точке доступа, я на win 11 сижу кому если надо они и так не только мою точку доступа знать будут, но и где я живу по любому требованию спец.служб если я кому-то понадоблюсь.
Это хорошо или плохо? Какой меседж?
Можно в случае с Apple. Принимает BSSID, отправляет местоположение указанного BSSID и до 400 ближайших точек.
У роутеров полно простых уязвимостей, они быстро перестают патчиться производителем (1-2 года)
Широкий спектр возможностей спецслужб не является аргументом в пользу того, чтобы не закрывать дверь на замок. Вы сослались на сложную модель угрозы, чтобы сказать, что базовые практики безопасности, рассчитанные на мелкие модели угрозы, вам теперь не нужны.
