Masz sprzęt tej firmy i utworzyłeś konto? Jego dane zostały wykradzione.

Ubiquiti najwyraźniej nie grało fair

Ubiquiti - znany dostawca urządzeń Internetu rzeczy (IoT) działających w chmurze, takich jak routery, switche, access pointy, sieciowe rejestratory wideo czy kamery bezpieczeństwa - ujawnił, że doszło do naruszenia danych uwierzytelniających konta klientów. Doszło do tego z udziałem zewnętrznego dostawcy usług w chmurze. Pojawiają się też głosy, że Ubiquiti masowo zbagatelizowało „katastrofalny” incydent, aby zminimalizować spadek ceny jego akcji, oraz że twierdzenie trzeciej strony (zewnętrznego dostawcy usług w chmurze) było sfabrykowane.

Coś nie zagrało

Serwis KrebsOnSecurity podał, że skontaktował się z nim specjalista ds. bezpieczeństwa w Ubiquiti, który pomógł firmie zareagować na naruszenie trwające już dwa miesiące. Tak – to nie jest nowy incydent lecz stan, który trwa już od grudnia 2020 roku. Pracownik Ubiquiti zgłaszał swoje obawy zarówno na gorącą linię Ubiquiti, jak i do europejskich organów ochrony danych. Osoba ta w liście do Europejskiego Inspektora Ochrony Danych pisała:

Było to katastrofalnie gorsze niż raportowano, firma wyciszyła temat i nie podjęła wystarczających wysiłków zmierzających do zdecydowanej ochrony klientów. Naruszenie było masowe, dane klientów były zagrożone, dostęp do urządzeń klientów rozmieszczonych w korporacjach i domach na całym świecie był zagrożony.

Przerzucanie odpowiedzialności

Zdaniem anonimowego źródła hakerzy uzyskali pełny dostęp do odczytu i zapisu do baz danych Ubiquiti w Amazon Web Services (AWS), która była wspomnianą na wstępie „stroną trzecią” zaangażowaną we włamanie. Napisał, że ujawnienie naruszenia przez Ubiquiti zostało zbagatelizowane i celowo napisane tak, aby zasugerować, że to zewnętrzny dostawca usług w chmurze jest zagrożony a Ubiquiti jest jedynie ofiarą a nie celem ataku.

W swoim publicznym ogłoszeniu z 11 stycznia 2021 roku Ubiquiti poinformował jedynie, że dowiedział się o nieautoryzowanym dostępie do niektórych systemów informatycznych hostowanych przez zewnętrznego dostawcę usług w chmurze i odmówił podania nazwy tego dostawcy.

W rzeczywistości, zdaniem informatora KrebsOnSecurity, napastnicy uzyskali dostęp administracyjny do serwerów Ubiquiti w usłudze chmury Amazon, która zabezpiecza sprzęt i oprogramowanie serwera, ale też wymaga od dzierżawcy chmury (klienta) zabezpieczenia dostępu do wszelkich przechowywanych tam danych. Udało im się uzyskać klucze kryptograficzne do plików cookie jednokrotnego logowania i zdalnego dostępu, kody źródłowe i klucze do podpisywania.

Sprawdź oferty pracy na TeamQuest

85 milionów urządzeń zagrożonych?

Jeśli wierzyć tym doniesieniom to atakujący mieli dostęp do uprzywilejowanych danych uwierzytelniających, które były wcześniej przechowywane na koncie LastPass pracownika IT Ubiquiti, i uzyskali dostęp na prawach roota do wszystkich kont Ubiquiti AWS, w tym do wszystkich zasobników danych S3, wszystkich dzienników aplikacji, wszystkich baz danych, wszystkich poświadczeń bazy danych użytkowników i byli w stanie fałszować pliki cookie jednokrotnego logowania (SSO).

Taki dostęp mógłby umożliwić intruzom zdalne uwierzytelnienie na niezliczonych urządzeniach opartych na chmurze Ubiquiti na całym świecie. Ubiquiti sprzedało przynajmniej 85 milionów urządzeń, które odgrywają kluczową rolę w infrastrukturze sieciowej w ponad 200 krajach i terytoriach na całym świecie.