UPDATE: Western Digital Hack macht NAS der WD My Cloud Home Serie unbenutzbar

By Andreas Walker 4 Apr, 2023

Update 07.04.2023 21:15: Western Digital hat in einem KB-Artikel eine Anleitung veröffentlicht wie der Local Access für WD My Cloud Home NAS wieder aktiviert werden kann. Der Cloud-Access ist weiterhin nicht möglich. Die Aktivierung des Local Access ermöglicht jedoch zumindest den lokalen Dateizugriff ohne das NAS destruktiv zu öffnen.

Gemäss Informationen von BleepingComputer hat Western Digital am 26.03.2023 unauthorisierte Zugriffe auf Ihr Firmennetzwerk festgestellt. Beim Verfassen dieses Artikels (04.04.2023) laufen die Abkärungen seitens Western Digital und Forensik-Experten um das Ausmass des Breaches zu ermitteln. Im Verlauf des Sonntags, 02.04.2023 erfolgte dann die Abschaltung aller WD My Cloud Services. Seither ist es nicht mehr möglich über die Mobiltelefon-App auf WD My Cloud NAS-Geräte zuzugreifen, da der Authentifizierungsservice dafür in der Cloud von Western Digital sitzt.

Besonders bitter ist diese Abschaltung für Nutzer der günstigen WD My Cloud Home-Geräte: Auf diese Geräte kann erst seit kurzem über lokale SMB-Shares zugegriffen werden. Die meisten Benutzer werden daher den Zugriff über WD Discovery nutzen. Welche ebenfalls eine Authentifizierung in der Cloud von Western Digital erfordert.

Sofern das lokale Login für die WD My Cloud Home noch nicht eingerichtet ist, was bei den meisten Home-Usern der Fall sein dürfte, sind WD My Cloud Home NAS zur Zeit unbenutzbar. Die Benutzer kommen nicht mehr an ihre lokal (!sic) gespeicherten Daten.

  • WD MyCloud Home fordert zur Cloud-Anmeldung auf.
    WD MyCloud Home fordert zur Cloud-Anmeldung auf.
  • Lokale Logins sind erst seit kurzem möglich, und müssten zuvor eingerichtet worden sein.
    Lokale Logins sind erst seit kurzem möglich, und müssten zuvor eingerichtet worden sein.
  • Fehlermeldung, da der CloudService nicht zur Verfügung steht.
    Fehlermeldung, da der CloudService nicht zur Verfügung steht.

Ist mein Gerät betroffen?

Vom kompletten Lockout betroffen sind sämtliche WD My Cloud Home und WD My Cloud Home Duo Geräte, sofern nicht vor dem 04.04.2023 ein lokaler Account eingerichtet wurde.

NAS-Geräte welche auf dem My Cloud OS aufsetzen (z.B. WD My Cloud EX2 Ultra) ermöglichen weiterhin lokale Zugriffe über SMB und andere Filesharing-Protokolle. Ein Zugriff über die WD My Cloud Smartphone- oder Tablet-App ist auch bei diesen Geräten nicht möglich, da die Authentifizierung dafür in der Cloud stattfindet.

Update 07.04.2023: Aktivierung Local Access für WD My Cloud Home

Im Verlauf des Abends des Karfreitags 2023 hat Western Digital einen Support-Artikel veröffentlicht welche die Aktivierung des Local Access für WD My Cloud Home Geräte beschreibt. Nachfolgend eine kurze Anleitung:

  • Die IP-Adresse der WD My Cloud Home ansurfen. Dann auf "Anmelden" klicken.
    Die IP-Adresse der WD My Cloud Home ansurfen. Dann auf «Anmelden» klicken.
  • Nun ist eine lokale anmeldung möglich. Hierzu das Formular ausfüllen.
    Nun ist eine lokale anmeldung möglich. Hierzu das Formular ausfüllen.
  • Beim Login wird direkt eine Bestätigunsmail ausgelöst um den Login zu bestätigen.
    Beim Login wird direkt eine Bestätigunsmail ausgelöst um den Login zu bestätigen.
  • Im Mail auf "E-Mail-Adresse besätigen" klicken. Danach zum Browser zurückkehren und auf "Verifizierungsstatus prüfen" klicken.
    Im Mail auf «E-Mail-Adresse besätigen» klicken. Danach zum Browser zurückkehren und auf «Verifizierungsstatus prüfen» klicken.
  • Auf der Einstellungsseite ganz unten den Lokalen Netzwerkzugriff einschalten.
    Auf der Einstellungsseite ganz unten den Lokalen Netzwerkzugriff einschalten.
  • Es erscheint ein PopUp bei welchem ein lokaler Benutzer angelegt werden kann.
    Es erscheint ein PopUp bei welchem ein lokaler Benutzer angelegt werden kann.
  • Nach der Aktivierung des lokalen Benutzers ist der Benutzername dieses Users unten ersichtlich.
    Nach der Aktivierung des lokalen Benutzers ist der Benutzername dieses Users unten ersichtlich.
  • Nun den Windows Explorer öffnen und mittels \\[IP-Adresse des NAS] per SMB auf das NAS zugreifen.
    Nun den Windows Explorer öffnen und mittels \\[IP-Adresse des NAS] per SMB auf das NAS zugreifen.
  • Durck einen Doppelklick auf einen Share kann dieser geöffnet werden.
    Durck einen Doppelklick auf einen Share kann dieser geöffnet werden.
  • Die Logindaten des soeben erstellten lokalen Benutzers einloggen und auf die Daten zugreifen.
    Die Logindaten des soeben erstellten lokalen Benutzers einloggen und auf die Daten zugreifen.

Dringender Zugriff erforderlich?

In den WD My Cloud Home Geräten befinden sich eine oder zwei Standard 3.5 Zoll SATA-Festplatten. Auf diesen befindet sich ein ext4 Filesystem, welches von gängigen Linux-Systemen gelesen werden kann.

Die Daten sind jedoch nicht sauber in Verzeichnissen angeordnet sondern in einer REST-File-Struktur. Die Dateinamen sind zufällgi gewählte GUIDs. Das Selbe gillt für die Verzeichnisse. Der Schlüssel zu diesem Datensalat ist eine SQLite-Datenbank welche es der App ermöglicht logische Dateipfade darzustellen.

Ein Python-Scipt von Springfield Data Recovery kann die Daten wieder in eine lesbare Dateistrukur «umbiegen». Das Script ist auf GitHub zu finden.

A script to recover files from MyCloud REST SDK Folder Structure
https://github.com/springfielddatarecovery/mycloud-restsdk-recovery-script
17 forks.
31 stars.
1 open issues.

Recent commits:

Bitte beachtet, dass sich das Gehäuse der WD My Cloud Home nicht zerstörungsfrei öffnen lässt. Mit dem Öffnen der WD My Cloud Home erlischt die Garantie.

Spekulationen zum Ausmass

Benerkenwert ist die «Ohrenbetäubende Stille» seitens Western Digital. Abgesehen von einem sehr allgemein gehaltenen Statement auf Business Wire und Status-Informationen auf der mycloud.com Website gibt es seintens des Herstellers keinerlei Informationen zum ausmass des Breaches. Dass die Servies seitens WD vom Netz genommen wurden und das ausbleiben von Informations-Mails an die Nutzer spricht eher für einen Kontrollverlust als für eine reine Sicherheitsmassnahme. Gut möglich dass es den Angreifern gelungen ist wertvolle Authentifizieurngs-Informationen unter Kontrolle zu bringen oder entscheidende Systeme lahm zu legen.

Letztendlich sind solche Aussagen reine Spekulation. Betroffenen Benutzern bleibt nur noch abzuwarten und auf weitere Informationen seitens Western Digital zu hoffen.

Andreas Walker absolvierte eine Ausbildung in der Gastronomie und arbeitete fast 15 Jahre in dieser Branche. Neben seiner Tätigkeit in der Gastronomie baute er eine kleine IT-Firma auf und betreute in seiner Freizeit kleine KUMs bei IT-Projekten. Mit der Zeit rutschte er auch in die IT seines Arbeitgebers und betreute die Standort-IT eines Businesshotels der International tätigen Hotelkette IHG. Im Sommer 2019 schloss er die Höhere Fachschule Informatik ab. Seit dem Frühling 2019 arbeitet Andreas Walker bei einem lokalen IT-Provider im Kanton Glarus als System Engineer und betreut dort vor allem KMU-Kunden.