GulfTech Research and Development的資安專家James Bercegay 在2017年的年中，就發現 My Cloud 有一個後門漏洞，任何人都可以利用"mydlinkBRionyg"這個管理員名稱，以及利用 "abc12345cba" 為密碼，登入 My Cloud 裝置。登入之後，攻擊者就可以透過界面來對該裝置進行攻擊。

就算是不連上網際網路，只將 My Cloud 放在區域網路，一樣可以利用相同的方式來攻擊這個裝置，攻擊者只需要在區域網路中利用另一台電腦，利用在網站上使用的HTML image以及iFrame tags技術，搭配已知的管理員名稱以及密碼，來向區域網路中的 My Cloud 發出訪問的請求，一樣可以存取 My Cloud 的內容。

James Bercegay 在去年年中向WD提供了這個訊息，不過至今相關的漏洞依然沒有被修補。半年之後，這個漏洞公開在公司的網站上。受影響的裝置包括有；My Cloud Gen 2、My Cloud EX2、My Cloud EX2 Ultra、My Cloud PR2100、My Cloud PR4100、My Cloud EX4、My Cloud EX2100、My Cloud EX4100、My Cloud DL2100、My Cloud DL4100。

其實在去年三月，WD的私有雲就被爆出過有多達85個漏洞，當時一名自稱Zenofex的安全研究人員公開了WD旗下NAS產品存在高達85個安全漏洞，最嚴重者可讓駭客繞過認證機制，在NAS上執行程式，或存取儲存的資料。

此外，WD在2016年度的「金駭獎」Pwnie Awards上，由於當年度被白帽駭客回報WD MyPassword 存有加密漏洞問題，而WD收到這個漏洞回報的回應是「再觀察一下」就沒有下文，獲得了「最跛腳的廠商反應獎」（Pwnie for Lamest Vendor Response）。顯示他們在產品的安全性方面，警覺性有些遲鈍。

而針對這次的漏洞問題，James Bercegay對一般的用戶提出的建議是：將手中的產品網路線拔除完全斷網，等待廠商提供安全更新。

WD My Cloud NAS遭發現暗藏後門，回報6個月後才被修補

WD My Cloud NAS用戶要小心了! 由研究與開發公司GulfTech的James Bercegay發現，某些型號的WD My Cloud NAS產品有寫死的後門，任何人都能使用帳號mydlinkBRionyg以及密碼abc12345cba登入有後門漏洞的產品，使用者應儘速更新裝置韌體。

受影響的產品型號有MyCloud、MyCloudMirror、My Cloud Gen 2、My Cloud PR2100、My Cloud PR4100、My Cloud EX2 Ultra、My Cloud EX2、My Cloud EX4、My Cloud EX2100、My Cloud EX4100、My Cloud DL2100、My Cloud DL4100，而不受影響的有MyCloud 04.X Series以及MyCloud 2.30.174。

James Bercegay指出，利用這個漏洞取得遠端殼層的Root權限並非難事，駭客只要使用一個假主機的標頭，並傳送包含文件的Post請求，並使用Filedata[0]指定檔案位置。他表示，這個漏洞非常危險能被用來作蠕蟲攻擊，即使使用者將裝置設置在區網內都沒有用，只要使用者瀏覽內嵌Iframe或是含有圖檔標籤的網站，駭客就有機會利用這個漏洞向裝置發送請求，進而控制該裝置。

而這個漏洞來自於過去WD NAS曾經一度與D-Link的Sharecenter裝置共享程式碼，因此登入帳號中才會包含dlink字樣，不過這個漏洞已經在2014年被發現而且修補。但到了2017年6月這項漏洞再次被James Bercegay回報給WD，不過一直到了2018年1月3日才被修補完成，他指出，期間歷時6個月而WD卻毫無作為。

任何人都可以利用"mydlinkBRionyg"這個管理員名稱，以及利用 "abc12345cba" 為密碼？很明顯應該要改成最「熱門」的密碼「123456」、「password」才對！