Ubiquiti «Катастрофічне» злом даних
(Зображення надано: Shutterstock)
Ubiquiti Inc., основний постачальник хмарних пристроїв, таких як маршрутизатори, камери безпеки та відеореєстратори, повідомила, що це було зламано 11 січня. Злом даних передбачав розкриття інформації про клієнта, включаючи облікові дані облікового запису. Однак спеціаліст із безпеки, який допоміг компанії реагувати на порушення, стверджував, що Ubiquity применшує катастрофічне порушення, щоб мінімізувати його вплив на акції компанії, повідомляє KerbsOnSecurity.
У цьому інциденті засмучує те, що Ubiquiti приховує злом даних, що ставить під загрозу обладнання клієнта, оскільки облікові дані завжди можна використовувати для несанкціонованого доступу. Викривач написав листа до Європейського наглядового органу із захисту даних, у якому зазначив:
«Це було катастрофічно гірше, ніж повідомлялося, і закон замовчував і відмінював зусилля рішуче захистити клієнтів. Порушення було масовим, дані клієнтів були під загрозою, доступ до пристроїв клієнтів, розгорнутих у корпораціях та будинках по всьому світу, був під загрозою».
Ubiquiti не відповів на ці претензії так, як мав би. Джерело також написало, що компанія «применшувала значення та цілеспрямовано написала, щоб натякати, що сторонній постачальник хмарних мереж знаходиться під загрозою», заявляючи, що Ubiquity був жертвою під час атаки, а не основною метою.
Порушення даних Ubiquity – подробиці
Насправді, однак, зловмисники отримали доступ до серверів і баз даних Ubiquiti в Amazon Web Services (AWS), які захищають основне програмне та апаратне забезпечення. За словами джерела, зловмисники змогли «отримати криптографічні секрети для файлів cookie єдиного входу та віддаленого доступу, повний вміст контролю вихідного коду та ексфільтрацію ключів підпису».
Викривач також заявив, що під час порушення зловмисники змогли отримати доступ до облікових даних співробітників Uquibiti і використали їх для отримання root-адміністративного доступу до облікових записів Ubiquiti у веб-сервісах Amazon. Це дало їм повний доступ до всіх журналів додатків, сегментів даних S3, усієї бази даних, облікових даних та інформації, необхідної для створення файлів cookie єдиного входу (SSO).
Маючи таку інформацію, зловмисники могли віддалено отримати доступ до незліченної кількості хмарних пристроїв Ubiquiti. Це дуже турбує, оскільки, за даними Ubiquity, компанія доставила понад 85 мільйонів пристроїв у понад 200 місць по всьому світу. Усі ці пристрої були скомпрометовані через злом даних!
За словами джерела, зловмисники залишили в системі бекдор, і таким чином Ubiquity дізнався про злом. Коли бекдор було нарешті видалено, зловмисники звернулися до компанії з проханням надати 50 біткойнів (~2,8 мільйона доларів США) в обмін на мовчання щодо злому даних.
Зловмисники також повідомили, що вони вкрали вихідний код Ubiquiti і в системі компанії є ще один бекдор, який буде розкритий лише в разі виконання їхніх вимог. Однак Ubiquity пощастило знайти другий бекдор, і вони не вступили в контакт з нападниками.
Реакція Ubiquity на порушення
Ubiquity нарешті зробив публічне оголошення 31 березня після 24-годинного мовчання, сказавши, що «нещодавно стало відомо про несанкціонований доступ до деяких наших систем інформаційних технологій, розміщених стороннім хмарним провайдером. У компанії також повідомили, що, хоча не було жодних доказів того, що зловмисники дістали дані клієнтів, вони не можуть виключити можливість скомпрометованих імен користувачів, електронної пошти, паролів і номерів телефонів.
Найважливішим є те, що замість того, щоб негайно повідомити клієнтів про порушення, Ubiquity лише рекомендував своїм користувачам змінити їхні паролі. Натомість вони повинні були негайно визнати недійсними всі імена користувачів і паролі клієнтів і попросити користувачів почати все заново. Цей інцидент є величезним тривожним дзвінком для всіх постачальників хмарних пристроїв, особливо щодо безпеки та шифрування.
Тому, якщо у вас є пристрій Ubiquiti, зараз ідеальний час змінити ім'я користувача та пароль. Рекомендується також увімкнути двофакторну аутентифікацію, а також видалити будь-які профілі користувачів, пов’язані з пристроєм Ubiquiti, і створити новий із новими обліковими даними та надійним паролем.