...
🧠 Blog poświęcony jest tematowi VPN i bezpieczeństwa, prywatności danych w Internecie. Rozmawiamy o aktualnych trendach i nowościach związanych z ochroną.

„Katastrofalne” naruszenie danych Ubiquiti

8

(Źródło zdjęcia: Shutterstock)

Ubiquiti Inc., główny dostawca urządzeń opartych na chmurze, takich jak routery, kamery bezpieczeństwa i rejestratory wideo, ujawnił, że został naruszony 11 stycznia. Naruszenie danych obejmowało ujawnienie informacji o klientach, w tym danych uwierzytelniających konta. Jednak specjalista ds. bezpieczeństwa, który pomógł firmie zareagować na naruszenie, twierdził, że Ubiquity zbagatelizowało katastrofalne naruszenie, aby zminimalizować jego wpływ na akcje firmy, zgłoszone przez KerbsOnSecurity.

To, co jest denerwujące w tym incydencie, to fakt, że Ubiquiti ukrywa naruszenie danych, co naraża sprzęt klienta na ryzyko, ponieważ dane uwierzytelniające zawsze mogą zostać użyte do nieautoryzowanego dostępu. Sygnalista napisał pismo do Europejskiego Inspektora Ochrony Danych, w którym stwierdził:

„Było katastrofalnie gorsze niż zgłoszono, a prawne uciszyło i uchyliło starania, aby zdecydowanie chronić klientów. Naruszenie było ogromne, dane klientów były zagrożone, dostęp do urządzeń klientów wdrożonych w korporacjach i domach na całym świecie był zagrożony".

Ubiquiti nie odpowiedział na te twierdzenia tak, jak powinien. Źródło napisało również, że firma „bagatelizowała i celowo pisała, aby sugerować, że zewnętrzny dostawca chmury jest zagrożony”, stwierdzając, że Ubiquity był ofiarą podczas ataku, a nie głównym celem.

Naruszenie danych dotyczących wszechobecności – szczegóły

W rzeczywistości jednak osoby atakujące uzyskały dostęp do serwerów i baz danych Ubiquiti w Amazon Web Services (AWS), które zabezpieczają oprogramowanie i sprzęt. Według źródła, osoby atakujące były w stanie „uzyskać tajemnice kryptograficzne dla plików cookie jednokrotnego logowania i zdalnego dostępu, pełnej kontroli zawartości kodu źródłowego i eksfiltracji kluczy podpisu”.

Sygnalista stwierdził również, że podczas naruszenia osoby atakujące były w stanie uzyskać dostęp do danych uwierzytelniających pracowników Uquibiti i wykorzystać je do uzyskania dostępu administracyjnego root do kont Ubiquiti w Amazon Web Services. Dało im to pełny dostęp do wszystkich dzienników aplikacji, zasobników danych S3, całej bazy danych, poświadczeń i informacji wymaganych do tworzenia plików cookie jednokrotnego logowania (SSO).

Dzięki takim informacjom osoby atakujące mogą uzyskać zdalny dostęp do niezliczonych urządzeń Ubiquiti opartych na chmurze. Jest to bardzo niepokojące, ponieważ według Ubiquity firma dostarczyła ponad 85 milionów urządzeń do ponad 200 lokalizacji na całym świecie. Wszystkie te urządzenia zostały naruszone z powodu naruszenia bezpieczeństwa danych!

Według źródła, osoby atakujące pozostawiły w systemie tylne drzwi i w ten sposób Ubiquity dowiedziało się o włamaniu. Kiedy backdoor został ostatecznie usunięty, napastnicy zwrócili się do firmy z prośbą o 50 bitcoinów (~2,8 miliona USD) w zamian za milczenie w sprawie naruszenia bezpieczeństwa danych.

Intruzi powiedzieli również, że ukradli kod źródłowy Ubiquiti, aw systemie firmy znajduje się kolejny backdoor, który zostanie ujawniony tylko wtedy, gdy ich żądania zostaną spełnione. Jednak Ubiquity miało szczęście znaleźć drugie tylne wejście i nie zaatakowało atakujących.

Reakcja wszechobecności na naruszenie

Ubiquity w końcu ogłosiło publiczne oświadczenie 31 marca po 24 godzinach ciszy, mówiąc, że „ niedawno dowiedziało się o nieautoryzowanym dostępie do niektórych naszych systemów informatycznych hostowanych przez zewnętrznego dostawcę chmury. Firma stwierdziła również, że chociaż nie ma dowodów na to, że osoby atakujące zdobyły dane klientów, nie można wykluczyć możliwości złamania nazw użytkowników, adresów e-mail, haseł i numerów telefonów.

Najbardziej niepokojące jest to, że zamiast od razu zaalarmować klientów o włamaniu, Ubiquity zaleciło jedynie zmianę hasła. Zamiast tego powinni byli natychmiast unieważnić wszystkie nazwy użytkowników i hasła klientów i poprosić użytkowników, aby zaczęli od nowa. Ten incydent jest ogromnym sygnałem alarmowym dla wszystkich dostawców urządzeń opartych na chmurze, zwłaszcza w zakresie bezpieczeństwa i szyfrowania. 

Dlatego jeśli masz urządzenie Ubiquiti, teraz jest idealny czas na zmianę nazwy użytkownika i hasła. Zaleca się również włączenie uwierzytelniania dwuskładnikowego, a także usunięcie wszelkich profili użytkowników powiązanych z urządzeniem Ubiquiti i utworzenie nowego ze świeżymi danymi uwierzytelniającymi i silnym hasłem.

Ta strona korzysta z plików cookie, aby poprawić Twoje wrażenia. Zakładamy, że nie masz nic przeciwko, ale możesz zrezygnować, jeśli chcesz. Akceptuję Więcej szczegółów