...
🧠 Le blog est dédié au sujet du VPN et de la sécurité, de la confidentialité des données sur Internet. Nous parlons des tendances actuelles et des nouvelles liées à la protection.

Violation de données “catastrophique” d’Ubiquiti

6

(Crédit image : Shutterstock)

Ubiquiti Inc., un important fournisseur d'appareils basés sur le cloud tels que des routeurs, des caméras de sécurité et des enregistreurs vidéo, a révélé qu'il avait été piraté le 11 janvier. La violation de données impliquait l'exposition d'informations sur les clients, y compris les identifiants de compte. Cependant, un professionnel de la sécurité qui a aidé l'entreprise à répondre à la violation a affirmé qu'Ubiquity avait minimisé l'importance de la violation catastrophique afin de minimiser son effet sur les actions de l'entreprise, a rapporté KerbsOnSecurity.

Ce qui est bouleversant dans cet incident, c'est qu'Ubiquiti a dissimulé la violation de données, ce qui met en danger le matériel de son client, car les informations d'identification peuvent toujours être utilisées pour un accès non autorisé. Le lanceur d'alerte a écrit une lettre au contrôleur européen de la protection des données indiquant,

«C'était catastrophiquement pire que ce qui avait été annoncé, et les efforts juridiques ont réduit au silence et annulé les efforts pour protéger de manière décisive les clients. La violation était massive, les données des clients étaient en danger, l'accès aux appareils des clients déployés dans les entreprises et les foyers du monde entier était en danger."

Ubiquiti n'a pas répondu à ces affirmations comme il aurait dû le faire. La source a également écrit que la société "a minimisé et délibérément écrit pour impliquer qu'un fournisseur de cloud tiers était en danger", déclarant qu'Ubiquity était une victime lors de l'attaque et non la cible principale.

Violation des données d'Ubiquity – Détails

En réalité, cependant, les attaquants ont eu accès aux serveurs et aux bases de données d'Ubiquiti sur Amazon Web Services (AWS) qui sécurise les logiciels et le matériel sous-jacents. Selon la source, les attaquants ont pu "obtenir des secrets cryptographiques pour les cookies d'authentification unique et l'accès à distance, le contenu de contrôle complet du code source et l'exfiltration des clés de signature".

Le dénonciateur a également déclaré que pendant la violation, les attaquants ont pu accéder aux informations d'identification des employés d'Uquibiti et les ont utilisées pour obtenir un accès administratif racine aux comptes d'Ubiquiti sur Amazon Web Services. Il leur a donné un accès complet à tous les journaux d'application, aux compartiments de données S3, à l'intégralité de la base de données, aux informations d'identification et aux informations requises pour créer des cookies d'authentification unique (SSO).

Avec de telles informations, les attaquants pourraient accéder à distance à d'innombrables appareils basés sur le cloud d'Ubiquiti. C'est très préoccupant, car selon Ubiquity, il a expédié plus de 85 millions d'appareils dans plus de 200 emplacements dans le monde. Tous ces appareils ont été compromis en raison de la violation de données !

Selon la source, les attaquants ont laissé une porte dérobée dans le système, et c'est ainsi qu'Ubiquity a découvert la violation. Lorsque la porte dérobée a finalement été supprimée, les attaquants ont approché l'entreprise pour lui demander 50 bitcoins (~ 2,8 millions de dollars US) en échange du silence sur la violation de données.

Les intrus ont également déclaré qu'ils avaient volé le code source d'Ubiquiti et qu'il existe une autre porte dérobée dans le système de l'entreprise qui ne sera révélée que si leurs demandes sont satisfaites. Cependant, Ubiquity a eu la chance de trouver la deuxième porte dérobée et ils ne se sont pas engagés avec les attaquants.

La réponse d'Ubiquity à la violation

Ubiquity a finalement fait une annonce publique le 31 mars après 24 heures de silence disant qu'elle «a récemment pris connaissance d'un accès non autorisé à certains de nos systèmes informatiques hébergés par un fournisseur de cloud tiers. " La société a également déclaré que bien qu'il n'y ait aucune preuve que les attaquants aient mis la main sur les données des clients, ils ne pouvaient pas exclure la possibilité de compromission des noms d'utilisateur, des e-mails, des mots de passe et des numéros de téléphone.

La chose la plus inquiétante est qu'au lieu d'alerter immédiatement les clients de la violation, Ubiquity a seulement recommandé à ses utilisateurs de changer leurs mots de passe. Au lieu de cela, ils auraient dû immédiatement invalider tous les noms d'utilisateur et mots de passe des clients et demander aux utilisateurs de recommencer à zéro. Cet incident est un énorme signal d'alarme pour tous les fournisseurs d'appareils basés sur le cloud, en particulier en ce qui concerne la sécurité et le cryptage. 

Par conséquent, si vous avez un appareil Ubiquiti, ce serait le moment idéal pour changer votre nom d'utilisateur et votre mot de passe. Il est également recommandé d'activer l'authentification à deux facteurs et également de supprimer tous les profils d'utilisateur associés à l'appareil Ubiquiti et d'en créer un nouveau avec de nouvelles informations d'identification et un mot de passe fort.

Ce site utilise des cookies pour améliorer votre expérience. Nous supposerons que cela vous convient, mais vous pouvez vous désinscrire si vous le souhaitez. J'accepte Plus de détails