En un principio las unidades afectadas incluyen modelos EX2, EX4 y Mirror. Se excluye la gama doméstica My Cloud Home. Estos productos ya fueron motivo de alarma entre usuarios y administradores de red en marzo de 2017, cuando se dio a conocer la existencia de varios agujeros de seguridad importantes.
Prueba de concepto publicada por Vermeulen.La revelación no se producido con malicia. Según Vermeulen, este bug "fácil" de explotar fue notificado inmediatamente a WD en abril de 2017, pero el fabricante no ha tomado medidas al respecto. De hecho, no respondió en ningún momento. Dada la gravedad del asunto Vermeulen dio un margen de tiempo muy superior a los 90 días habituales antes de comunicar la existencia del fallo. Más de un año después, WD sigue sin parchear los NAS afectados.
Mientras tanto, un grupo de investigadores ajeno ya ha publicado su propio exploit. También contactaron con WD e incluso llegaron a publicar sus hallazgos en la conferencia DEFCON 25, solo para obtener la misma (falta de) respuesta por parte de WD.
Según ha podido saber TechCrunch, WD ha reconocido la existencia del fallo y se encuentra "en el proceso de finalizar una actualización de firmware programada que resolver el problema reportado" en cuestión de semanas. Lo que el fabricante no ha aclarado es por qué ha tardado tanto tiempo en tomar cartas para atajar una vulnerabilidad tan grave que de acuerdo con Vermeulen solo se puede resolver temporalmente desconectando las unidades.
