Veiligheid

Wi-Fi slinger Ubiquiti hint op broncodelek nadat claim van ‘catastrofale’ cloudinbraak naar voren komt

Wi-Fi kit-slinger Ubiquiti heeft gesuggereerd dat de aanvaller die in januari 2021 toegang had tot sommige van zijn cloud-gehoste systemen, mogelijk is weggegaan met broncode en werknemersaanmeldingen, niet de klantgegevens die het aanvankelijk waarschuwde, kunnen in gevaar zijn.

Nieuws dat de cloudservers van Ubiquiti waren geschonden, kwam naar voren op 11 januari 2021, toen het bedrijf klanten de tekst e-mailde die in dit bericht op het ondersteuningsforum werd gevonden. Die missive verklaarde: “We zijn ons onlangs bewust geworden van ongeautoriseerde toegang tot bepaalde van onze informatietechnologiesystemen die worden gehost door een externe cloudprovider.”

Die aankondiging ging verder: “We hebben geen indicatie dat er ongeoorloofde activiteiten zijn geweest met betrekking tot het account van een gebruiker”, maar raadden klanten ook aan hun wachtwoorden te wijzigen, want als hun records waren geopend, zouden gehashte en gezouten wachtwoorden, e-mailadressen en zelfs fysieke adressen en telefoonnummers in gevaar kunnen komen.

Een update op woensdag deze week verklaarde echter dat een onderzoek door externe experts “geen bewijs identificeerde dat klantinformatie werd geopend of zelfs gericht”.

Cruciaal was dat de update ook onthulde dat iemand “tevergeefs heeft geprobeerd het bedrijf af te persen door te dreigen met het vrijgeven van gestolen broncode en specifieke IT-inloggegevens.” De update suggereert niet dat de afpersingspoging fantasierijk was.

Ubiquiti heeft niet gezegd toen de externe experts besloten dat klantgegevens onaangetast waren. Waardoor het bedrijf in de interessante positie blijft om misschien te weten dat zijn kern-IP is gelekt, en dat niet bekend te maken, terwijl het ook weet dat klantgegevens veilig zijn en dat ook niet bekendmaken.

De update bevat nog een enge nugget in deze zin: “Houd er rekening mee dat er niets is veranderd met betrekking tot onze analyse van klantgegevens en de veiligheid van onze producten sinds onze kennisgeving op 11 januari.”

Maar in de kennisgeving van 11 januari wordt geen melding gemaakt van “de veiligheid van onze producten”.

De update op woensdag werd gepubliceerd twee dagen nadat Krebs On Security meldde dat het een brief van een klokkenluider heeft gezien aan de Europese Toezichthouder voor gegevensbescherming die beweert dat Ubiquiti niet de hele waarheid over het incident heeft verteld.

Krebs zei dat de brief de aanval op Ubiquiti beschreef als “catastrofaal erger dan gemeld.”.

“De inbreuk was enorm, klantgegevens waren in gevaar, de toegang tot apparaten van klanten die werden ingezet in bedrijven en huizen over de hele wereld was in gevaar,” beweerde de brief naar verluidt, eraan toevoegend dat het juridische team van Ubiquiti “de inspanningen om klanten resoluut te beschermen het zwijgen oplegde en overruled.”

De klokkenluider beweerde afzonderlijk dat degene die kon inbreken op de door Amazon gehoste servers van Ubiquiti, cryptografische geheimen had kunnen wissen voor de enkele aanmeldingscookies en toegang tot externe apparaten, interne broncode en ondertekeningssleutels van klanten – veel meer dan de maker van wi-fi-boxen in januari onthulde. De indringer, zo wordt gezegd, verkreeg de bevoorrechte referenties van een Ubiquiti IT-medewerker, kreeg root-toegang tot de AWS-systemen van het bedrijf en had dus een potentiële gratis run van zijn cloud-gehoste opslag en databases.

Backdoors waren blijkbaar ook verstopt in de servers, en, zoals Ubiquiti deze week erkende, werd losgeld geëist om te zwijgen over de inbraak.

Als Ubiquiti-personeelsreferenties werden verkregen, zoals zelfs Ubiquiti zelf nu suggereert, hadden de aanvallers comfortabel “toegang kunnen krijgen tot apparaten van klanten die zijn geïmplementeerd in bedrijven en huizen over de hele wereld”, zoals de brief van de klokkenluider het verwoordde.

De juiste creds zouden ook klantgegevens in gevaar brengen voor diefstal. Ubiquiti stond er deze week op dat de aanvallers dergelijke gegevens niet hadden “geopend of zelfs gericht”, hoewel de klokkenluider beweerde dat de maker van draadloze kits onvoldoende logboeken bijhield om hier zeker van te zijn.

Ubiquiti’s post op woensdag ging verder: “Op dit moment hebben we goed ontwikkeld bewijs dat de dader een persoon is met ingewikkelde kennis van onze cloudinfrastructuur,” maar zei dat het niet meer kan zeggen vanwege lopende onderzoeken.

Samenvattend: broncode voor Ubiquiti-producten en andere interne informatie kan zijn geëfiltreerd, servers kunnen zijn geroot en degene die verantwoordelijk is, kan een huidige of voormalige werknemer van het bedrijf zijn… maar anders dan met een paar verdwaalde woorden, heeft Ubiquiti ervoor gekozen om zich te concentreren op een persoonlijk privacyprobleem dat volgens haar eigenlijk geen probleem is.

En dat gebeurde allemaal op een moment dat we weten dat slechte acteurs hun aanwezigheid in de infrastructuur van SolarWinds jarenlang konden verbergen en de producten ervan konden vergiftigen.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *