Ubiquiti взломали

Ubiquiti обвиняют в сокрытии “катастрофической” утечки данных — и она этого не отрицает

Информатор заявил, что компания преуменьшила значение “катастрофического” инцидента

Автор: Митчелл Кларк 31 марта 2021 года, 7:52 вечера по восточному времени

Ubiquiti, компания, чьи маршрутизаторы prosumer-класса стали синонимом безопасности и управляемости, обвиняется в сокрытии “катастрофического” нарушения безопасности — и после 24 часов молчания компания выпустила заявление, которое не отрицает ни одного из утверждений разоблачителя.

Первоначально Ubiquiti отправила своим клиентам электронное письмо о якобы незначительном нарушении безопасности в “стороннем облачном провайдере” 11 января, но отметила, что новостной сайт кибербезопасности KrebsOnSecurity сообщает, что на самом деле нарушение было гораздо хуже, чем Ubiquiti показывала. Осведомитель из компании, который говорил с Кребсом, утверждал, что сама Ubiquiti была взломана, и что юридическая команда компании препятствовала усилиям точно сообщать об опасностях клиентам.

Стоит прочитать отчет Кребса, чтобы увидеть полные утверждения, но суть в том, что хакеры получили полный доступ к серверам AWS компании — поскольку Ubiquiti якобы оставила логины администратора root в учетной записи LastPass — и они могли получить доступ к любому сетевому оборудованию Ubiquiti, которое клиенты настроили для управления через облачный сервис компании (теперь, по-видимому, требуется на некоторых новых аппаратных средствах компании).

“Они смогли получить криптографические секреты для файлов cookie единого входа и удаленного доступа, полного контроля исходного кода и эксфильтрации ключей подписи”, – сказал источник Кребсу.

Когда Ubiquiti, наконец, выпустила заявление сегодня вечером, оно не было обнадеживающим — его дико недостаточно. Компания повторила свою точку зрения, что у нее нет никаких доказательств того, что какие-либо пользовательские данные были получены или украдены. Но, как указывает Кребс, осведомитель недвусмысленно заявил, что компания не ведет логов, которые служили бы доказательством , кто имел или не имел доступ к взломанным серверам. Заявление Ubiquiti также подтверждает, что хакер действительно пытался вымогать у них деньги. Вы можете прочитать полное заявление ниже.

Как мы уже сообщали вам 11 января, мы стали жертвой инцидента с кибербезопасностью, связанного с несанкционированным доступом к нашим ИТ-системам. Учитывая репортаж Брайана Кребса, в этом вопросе появился новый интерес и внимание, и мы хотели бы предоставить нашему сообществу дополнительную информацию.

Прежде всего, пожалуйста, обратите внимание, что с момента нашего уведомления 11 января ничего не изменилось в отношении нашего анализа данных клиентов и безопасности наших продуктов. В ответ на этот инцидент мы привлекли внешних экспертов по реагированию на инциденты, чтобы провести тщательное расследование, чтобы убедиться, что злоумышленник был заблокирован. Эксперты не выявили никаких доказательств того, что информация о клиентах была доступна или даже украдена. Злоумышленник, который безуспешно пытался вымогать деньги у компании, угрожая выпустить украденный исходный код и конкретные учетные данные ИТ-специалистов, никогда не утверждал, что имел доступ к какой-либо информации о клиентах. Это, наряду с другими доказательствами, является причиной того, что мы считаем, что данные клиентов не были объектом или иным образом доступны в связи с инцидентом.

На данный момент у нас есть хорошо разработанные доказательства того, что преступник является человеком, обладающим глубокими знаниями о нашей облачной инфраструктуре. Поскольку мы сотрудничаем с правоохранительными органами в рамках продолжающегося расследования, мы не можем комментировать дальше.
Тем не менее, в качестве меры предосторожности мы по-прежнему рекомендуем вам изменить свой пароль, если вы еще этого не сделали, в том числе на любом веб-сайте, где вы используете тот же идентификатор пользователя или пароль. Мы также рекомендуем вам включить двухфакторную аутентификацию на ваших учетных записях Ubiquiti, если вы еще этого не сделали.

Спасибо,
команда UI

Еще одна вещь, которую вы заметите, – это то, что Ubiquiti больше не связывает это с “сторонним облачным провайдером”.” Компания признает, что доступ к ее собственным ИТ-системам был получен. Но это не касается многого другого, и тот факт, что заявление подтверждает некоторые из того, что сказал информатор, оставляя самые тревожные части (например, предполагаемое сокрытие, отсутствие журналов, плохая практика безопасности и т. Д.) без внимания, заставляет меня бояться быть владельцем Ubiquiti.

Сетевое оборудование компании пользуется (или пользовалось) доверием многих технарей, включая меня, потому что оно обещало полный контроль над вашей домашней сетью или сетью малого бизнеса, не опасаясь облачных решений.

На протяжении всего этого процесса Ubiquiti не смогла должным образом общаться со своими клиентами. Тот факт, что он не отрицает эти обвинения и указывает на то, что они могут быть правдой, говорит о том, что первоначальное электронное письмо было, по крайней мере, недостаточным предупреждением. Он поощрял пользователей менять свои пароли — по словам Кребса, более подходящим ответом была бы немедленная блокировка всех учетных записей и требование сброса пароля. Даже сегодня компания просто поощряет пользователей менять свои пароли и включать двухфакторную аутентификацию.

Verge.com