(Изображение предоставлено Shutterstock)
Ubiquiti Inc., крупный поставщик облачных устройств, таких как маршрутизаторы, камеры видеонаблюдения и видеомагнитофоны, сообщил, что 11 января его взломали. Утечка данных привела к раскрытию информации о клиентах, включая учетные данные. Однако специалист по безопасности, который помог компании отреагировать на нарушение, заявил, что Ubiquity преуменьшила значение катастрофического нарушения, чтобы минимизировать его влияние на акции компании, сообщает KerbsOnSecurity.
Что расстраивает в этом инциденте, так это то, что Ubiquiti скрывает утечку данных, что подвергает риску оборудование своих клиентов, поскольку учетные данные всегда могут быть использованы для несанкционированного доступа. Информатор написал письмо Европейскому инспектору по защите данных, в котором говорилось:
«Это было катастрофически хуже, чем сообщалось, и юридические заглушили и отменили усилия по решительной защите клиентов. Нарушение было масштабным, данные клиентов оказались под угрозой, доступ к устройствам клиентов, развернутым в корпорациях и домах по всему миру, был под угрозой».
Ubiquiti не отреагировала на эти претензии должным образом. Источник также написал, что компания «преуменьшила и намеренно написала, чтобы намекнуть, что сторонний поставщик облачных услуг находится в опасности», заявив, что Ubiquity стала жертвой во время атаки, а не основной целью.
Нарушение повсеместного доступа к данным — подробности
Однако на самом деле злоумышленники получили доступ к серверам и базам данных Ubiquiti в Amazon Web Services (AWS), которые защищают базовое программное и аппаратное обеспечение. Согласно источнику, злоумышленники смогли «получить криптографические секреты для файлов cookie единого входа и удаленного доступа, полного контроля исходного кода и эксфильтрации ключей подписи».
Информатор также заявил, что во время взлома злоумышленники смогли получить доступ к учетным данным сотрудников Uquibiti и использовали их для получения root-административного доступа к учетным записям Ubiquiti в Amazon Web Services. Это дало им полный доступ ко всем журналам приложений, блокам данных S3, всей базе данных, учетным данным и информации, необходимой для создания файлов cookie для единого входа (SSO).
Обладая такой информацией, злоумышленники могут получить удаленный доступ к бесчисленным облачным устройствам Ubiquiti. Это очень тревожно, так как, по данным Ubiquity, компания поставила около 85+ миллионов устройств в более чем 200+ мест по всему миру. Все эти устройства оказались скомпрометированы из-за утечки данных!
По словам источника, злоумышленники оставили в системе бэкдор, и именно так Ubiquity узнал о взломе. Когда бэкдор был наконец удален, злоумышленники обратились к компании с просьбой 50 биткойнов (~ 2,8 миллиона долларов США) в обмен на молчание об утечке данных.
Злоумышленники также заявили, что украли исходный код Ubiquiti и что в системе компании есть еще один бэкдор, который будет обнаружен только в случае выполнения их требований. Однако компании Ubiquity посчастливилось найти второй бэкдор, и они не стали вступать в бой со злоумышленниками.
Реакция Ubiquity на нарушение
Ubiquity, наконец, сделал публичное заявление 31 марта после 24 часов молчания, заявив, что «недавно стало известно о несанкционированном доступе к некоторым нашим системам информационных технологий, размещенным сторонним поставщиком облачных услуг. Компания также заявила, что, хотя доказательств того, что злоумышленники получили в свои руки данные клиентов, нет, они не могут исключить возможность компрометации имен пользователей, адресов электронной почты, паролей и номеров телефонов.
Больше всего беспокоит то, что вместо того, чтобы сразу предупредить клиентов о взломе, Ubiquity всего лишь рекомендовала своим пользователям сменить пароли. Вместо этого они должны были немедленно аннулировать все имена пользователей и пароли клиентов и попросить пользователей начать заново. Этот инцидент стал тревожным сигналом для всех поставщиков облачных устройств, особенно в отношении безопасности и шифрования.
Поэтому, если у вас есть устройство Ubiquiti, сейчас самое время сменить имя пользователя и пароль. Также рекомендуется включить двухфакторную аутентификацию, а также удалить все профили пользователей, связанные с устройством Ubiquiti, и создать новый со свежими учетными данными и надежным паролем.