🧠 Il blog è dedicato al tema vpn e sicurezza, privacy dei dati su Internet. Parliamo di tendenze attuali e notizie relative alla protezione.

Violazione dei dati “catastrofica” di Ubiquiti

9

(Credito immagine: Shutterstock)

Ubiquiti Inc., uno dei principali fornitori di dispositivi basati su cloud come router, telecamere di sicurezza e videoregistratori, ha rivelato di essere stata violata l'11 gennaio . La violazione dei dati ha comportato l'esposizione delle informazioni dei clienti, comprese le credenziali dell'account. Tuttavia, un professionista della sicurezza che ha aiutato la società a rispondere alla violazione ha affermato che Ubiquity ha minimizzato la violazione catastrofica al fine di ridurre al minimo il suo effetto sulle azioni della società, riportato da KerbsOnSecurity.

La cosa sconvolgente di questo incidente è che Ubiquiti ha coperto la violazione dei dati, che mette a rischio l'hardware dei suoi clienti poiché le credenziali possono sempre essere utilizzate per l'accesso non autorizzato. L'informatore ha scritto una lettera al Garante europeo della protezione dei dati affermando:

“È stato catastroficamente peggiore di quanto riportato, e la legge ha messo a tacere e annullato gli sforzi per proteggere in modo decisivo i clienti. La violazione è stata massiccia, i dati dei clienti erano a rischio, l'accesso ai dispositivi dei clienti distribuiti nelle aziende e nelle case di tutto il mondo era a rischio".

Ubiquiti non ha risposto a queste affermazioni come avrebbe dovuto. La fonte ha anche scritto che la società "ha minimizzato e scritto di proposito per implicare che un fornitore di servizi cloud di terze parti fosse a rischio", affermando che Ubiquity è stata una vittima durante l'attacco e non l'obiettivo principale.

Violazione dei dati di Ubiquity – Dettagli

In realtà, tuttavia, gli aggressori hanno ottenuto l'accesso ai server e ai database di Ubiquiti presso Amazon Web Services (AWS) che protegge il software e l'hardware sottostanti. Secondo la fonte, gli aggressori sono stati in grado di "ottenere segreti crittografici per i cookie di accesso singolo e l'accesso remoto, il contenuto completo del controllo del codice sorgente e l'esfiltrazione delle chiavi di firma".

L'informatore ha anche affermato che durante la violazione gli aggressori sono stati in grado di accedere alle credenziali dei dipendenti di Uquibiti e le hanno utilizzate per ottenere l'accesso amministrativo root agli account di Ubiquiti presso Amazon Web Services. Ha consentito loro l'accesso completo a tutti i log delle applicazioni, ai bucket di dati S3, all'intero database, alle credenziali e alle informazioni necessarie per creare i cookie SSO (Single Sign-On).

Con tali informazioni, gli aggressori potrebbero accedere da remoto a innumerevoli dispositivi basati su cloud di Ubiquiti. Questo è molto preoccupante, poiché secondo Ubiquity ha spedito circa 85 milioni di dispositivi in ​​oltre 200 località in tutto il mondo. Tutti questi dispositivi sono rimasti compromessi a causa della violazione dei dati!

Secondo la fonte, gli aggressori hanno lasciato una backdoor nel sistema, ed è così che Ubiquity ha scoperto la violazione. Quando la backdoor è stata finalmente rimossa, gli aggressori si sono rivolti all'azienda chiedendo 50 bitcoin (~$2,8 milioni di dollari) in cambio del silenzio sulla violazione dei dati.

Gli intrusi hanno anche affermato di aver rubato il codice sorgente di Ubiquiti e che esiste un'altra backdoor nel sistema dell'azienda che verrà rivelata solo se le loro richieste saranno soddisfatte. Tuttavia, Ubiquity ha avuto la fortuna di trovare la seconda backdoor e non si è impegnata con gli attaccanti.

La risposta di Ubiquity alla violazione

Ubiquity ha finalmente fatto un annuncio pubblico il 31 marzo dopo 24 ore di silenzio dicendo che " recentemente è venuta a conoscenza di un accesso non autorizzato ad alcuni dei nostri sistemi informatici ospitati da un provider cloud di terze parti. La società ha anche affermato che, sebbene non vi fossero prove che gli aggressori avessero messo le mani sui dati dei clienti, non potevano escludere la possibilità di nomi utente, e-mail, password e numeri di telefono compromessi.

La cosa più preoccupante è che, invece di avvisare immediatamente i clienti della violazione, Ubiquity ha solo consigliato ai suoi utenti di cambiare le loro password. Invece, avrebbero dovuto invalidare immediatamente tutti i nomi utente e le password dei clienti e chiedere agli utenti di ricominciare da capo. Questo incidente è un enorme campanello d'allarme per tutti i fornitori di dispositivi basati su cloud, in particolare per quanto riguarda la sicurezza e la crittografia. 

Pertanto, se hai un dispositivo Ubiquiti, ora sarebbe il momento perfetto per cambiare nome utente e password. Si consiglia inoltre di abilitare l'autenticazione a due fattori ed eliminare anche eventuali profili utente associati al dispositivo Ubiquiti e crearne uno nuovo con credenziali nuove e una password complessa.

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. AcceptRead More