Private Bilder und NAS Systeme
NAS Systeme sind total “in”. Es ist ja auch sehr praktisch, seine Daten zentral an einem Ort zu haben und nicht auf PC, Laptop und Smartphone verteilt. Zudem eignen sie sich perfekt für Datensicherung der mobilen Geräte. Ich selbst möchte nicht mehr auf meinen zentralen Speicher verzichten.
Ein Argument für ein NAS gegen üblichen „Cloud“ Speicher ist ja, dass man seine Daten bei sich zu Hause hat und nicht auf fremden Systemen, wo evt. unbefugte Zugriff haben. Das dies nicht immer so ist (der Teil mit dem Zugriff), sollte ich eher durch Zufall herausfinden. Problematisch wird es nämlich dann, wenn das NAS zur Dateiablage weitere Funktionen mitbringt und diese vom Benutzer installiert werden. In meinem Fall war das Photostation von Synology. Klar wollte ich das ausprobieren und hab es installiert. Um die Bilder der Photostation ansehen zu können, braucht man einen Browser oder eine spezielle App, die ich dann auch umgehend auf meinem Tablet installierte. Nach dem Start fragt die App nach dem Namen des NAS oder der QuickConnect ID (kommen wir später noch drauf), einem Benutzernamen und einem Passwort. Also frisch ans Werk, Name eingetragen, Benutzername und Passwort leer gelassen und auf „verbinden“ geklickt und schon tauchen ca. 20 Alben mit hunderten von Bildern auf, die man sich ganz bequem auf der Couch liegend ansehen kann. Das einzige Problem an der Sache: es waren nicht meine Bilder. Ich kannte niemanden auf diesen Fotos, die teils sehr private Details enthielten. Da ist was faul.
Wie geht man jetzt vor? Ich hab versucht herauszufinden, wessen Bilder ich da jetzt gefunden habe. Das war nicht so leicht, ein Selfie des Besitzers auf dem er ein Namensschild trägt brachte dann die Information, die ich brauchte. Ich war in Dänemark gelandet. Über soziale Netzwerke konnte ich dann Kontakt aufnehmen und ihn darauf hinweisen. Wie sich herausstellte, war ihm seine Freizügigkeit wirklich nicht bekannt. Aber was war nun passiert?
Ich hatte ja schon die QuickConnect ID erwähnt. Synology bietet einen Dienst an, über den man sein heimisches NAS System auch über das Internet erreichen kann, selbst wenn man hinter einer Firewall sitzt. Das NAS Selbst verbindet sich zu Synology und umgeht somit den lokalen Paketfilter. Über eine URL quickconnect.to/ erreicht man sein System von überall auf der Welt. Da das praktische Vorteile hat (z.B. kann man von unterwegs auf seine Daten zugreifen) und die meisten Leute sich über Sicherheitsrisiken an der Stelle keine Gedanken machen, ist das System schnell eingerichtet. Benutzt man die genannte URL, kommt man auf die Administrative Seite des NAS Systems. Ohne Benutzername und Passwort kommt man da nicht viel weiter und der Gastzugang ist in aller Regel auch abgeschaltet. Was vielen Benutzern aber nicht klar sein wird, über diese URL erreicht man eben auch die Webseite der Photostation und wenn man öffentliche Alben hat (was vermutlich die meisten Benutzer haben, da sie zu Hause kein Passwort eingeben möchten) kann man darauf zugreifen, auch wenn kein Gastaccount mehr existiert. Man muss nur die URL wissen. Die App ist da gnädiger und nutzt gleich die passende URL. Sie ist aber auch wirklich nicht schwer zu erraten, ein /photo/ hinter der schon genannten URL genügt. In meinem Fall hatte der Benutzer die QuickConnect ID rein zufällig genau so gewählt, wie ich den DNS Namen meines NAS Systems. Die App scheint dann zuerst nach der ID zu suchen, statt nach dem DNS Namen.
Nachdem ich den Benutzer des oben erwähnten NAS erreicht und er Photostation abgeschaltet hatte, lag es nahe weitere Systeme zu suchen. Wer weiß, wie Leute „ticken“ kann schnell einige IDs erraten und in nicht mal 30 Minuten kannte ich eine Hand voll Alben.
Was macht man nun damit?
Ich habe daraufhin das Security Team von Synology kontaktiert. Die sehen das sehr entspannt. Denn um den Zugriff so zu bekommen, muss man eine QuickConnectID einrichten, Photostation installieren und öffentliche Alben aktivieren. Es ist also quasi vom “Benutzer gewollt”, so deren Aussage:
In fact, this is mainly up to the user because they can decide to do this with public or private albums. And in fact, the “set albums as public folder” option is OFF by default. It’s really not in our right nor policy to tell users how they should use their Photo Station.
Ich vermute aber, dass es den meisten Benutzern nicht klar sein wird, denn da sind zum Teil wirklich sehr private Fotos zu finden. Solltet Ihr also ein Synology NAS benutzen und Photostation installiert haben, schlage ich vor ihr kontrolliert mal eure Konfiguration.