TeamQuest Blog

Ubiquiti shakowane

Ubiquiti shakowane

Marcin Sarna , 31.03.2021 r.

Masz sprzęt tej firmy i utworzyłeś konto? Jego dane zostały wykradzione.

Ubiquiti najwyraźniej nie grało fair

Ubiquiti - znany dostawca urządzeń Internetu rzeczy (IoT) działających w chmurze, takich jak routery, switche, access pointy, sieciowe rejestratory wideo czy kamery bezpieczeństwa - ujawnił, że doszło do naruszenia danych uwierzytelniających konta klientów. Doszło do tego z udziałem zewnętrznego dostawcy usług w chmurze. Pojawiają się też głosy, że Ubiquiti masowo zbagatelizowało „katastrofalny” incydent, aby zminimalizować spadek ceny jego akcji, oraz że twierdzenie trzeciej strony (zewnętrznego dostawcy usług w chmurze) było sfabrykowane.

Coś nie zagrało

Serwis KrebsOnSecurity podał, że skontaktował się z nim specjalista ds. bezpieczeństwa w Ubiquiti, który pomógł firmie zareagować na naruszenie trwające już dwa miesiące. Tak – to nie jest nowy incydent lecz stan, który trwa już od grudnia 2020 roku. Pracownik Ubiquiti zgłaszał swoje obawy zarówno na gorącą linię Ubiquiti, jak i do europejskich organów ochrony danych. Osoba ta w liście do Europejskiego Inspektora Ochrony Danych pisała:

Było to katastrofalnie gorsze niż raportowano, firma wyciszyła temat i nie podjęła wystarczających wysiłków zmierzających do zdecydowanej ochrony klientów. Naruszenie było masowe, dane klientów były zagrożone, dostęp do urządzeń klientów rozmieszczonych w korporacjach i domach na całym świecie był zagrożony.

Przerzucanie odpowiedzialności

Zdaniem anonimowego źródła hakerzy uzyskali pełny dostęp do odczytu i zapisu do baz danych Ubiquiti w Amazon Web Services (AWS), która była wspomnianą na wstępie „stroną trzecią” zaangażowaną we włamanie. Napisał, że ujawnienie naruszenia przez Ubiquiti zostało zbagatelizowane i celowo napisane tak, aby zasugerować, że to zewnętrzny dostawca usług w chmurze jest zagrożony a Ubiquiti jest jedynie ofiarą a nie celem ataku.

W swoim publicznym ogłoszeniu z 11 stycznia 2021 roku Ubiquiti poinformował jedynie, że dowiedział się o nieautoryzowanym dostępie do niektórych systemów informatycznych hostowanych przez zewnętrznego dostawcę usług w chmurze i odmówił podania nazwy tego dostawcy.

W rzeczywistości, zdaniem informatora KrebsOnSecurity, napastnicy uzyskali dostęp administracyjny do serwerów Ubiquiti w usłudze chmury Amazon, która zabezpiecza sprzęt i oprogramowanie serwera, ale też wymaga od dzierżawcy chmury (klienta) zabezpieczenia dostępu do wszelkich przechowywanych tam danych. Udało im się uzyskać klucze kryptograficzne do plików cookie jednokrotnego logowania i zdalnego dostępu, kody źródłowe i klucze do podpisywania.

Sprawdź oferty pracy na TeamQuest

85 milionów urządzeń zagrożonych?

Jeśli wierzyć tym doniesieniom to atakujący mieli dostęp do uprzywilejowanych danych uwierzytelniających, które były wcześniej przechowywane na koncie LastPass pracownika IT Ubiquiti, i uzyskali dostęp na prawach roota do wszystkich kont Ubiquiti AWS, w tym do wszystkich zasobników danych S3, wszystkich dzienników aplikacji, wszystkich baz danych, wszystkich poświadczeń bazy danych użytkowników i byli w stanie fałszować pliki cookie jednokrotnego logowania (SSO).

Taki dostęp mógłby umożliwić intruzom zdalne uwierzytelnienie na niezliczonych urządzeniach opartych na chmurze Ubiquiti na całym świecie. Ubiquiti sprzedało przynajmniej 85 milionów urządzeń, które odgrywają kluczową rolę w infrastrukturze sieciowej w ponad 200 krajach i terytoriach na całym świecie.

Najnowsze oferty pracy:

Polecane wpisy na blogu IT:

Szukasz pracownika IT?

Dostarczymy Ci najlepszych specjalistów z branży IT. Wyślij zapytanie

Wyrażam zgodę TeamQuest Sp. z o.o. na przetwarzanie moich danych osobowych w celu marketingu produktów i usług własnych TeamQuest, w tym na kontaktowanie się ze mną w formie połączenia telefonicznego lub środkami elektronicznymi.
Administratorem podanych przez Ciebie danych osobowych jest TeamQuest Sp. z o.o., z siedzibą w Warszawie (00-814), ul. Miedziana 3a/21, zwana dalej „Administratorem".
Jeśli masz jakiekolwiek pytania odnośnie przetwarzania przez nas Twoich danych, skontaktuj się z naszym Inspektorem Ochrony Danych (IOD). Do Twojej dyspozycji jest pod adresem e-mail: office@teamquest.pl.
W jakim celu i na jakiej podstawie będziemy wykorzystywać Twoje dane? Dowiedz się więcej