Ubiquiti è accusata di aver nascosto una violazione dei dati “catastrofica”, e non lo nega

Ubiquiti, una società i cui router di livello prosumer sono diventati sinonimo di sicurezza e gestibilità, è stata accusata di aver coperto una violazione della sicurezza “catastrofica” e, dopo 24 ore di silenzio, l’azienda ha ora rilasciato una dichiarazione che non smentisce alcuna delle affermazioni del whistleblower.

Originariamente, l’11 gennaio Ubiquiti ha inviato un’e-mail ai propri clienti in merito a una presunta violazione della sicurezza di lieve entità presso un “provider di servizi cloud di terze parti”, ma ha notato il sito di notizie sulla sicurezza informatica KrebsOnSecurity sta segnalando che la violazione era in realtà di gran lunga peggiore di quanto Ubiquiti avesse lasciato intendere. Un informatore dell’azienda che ha parlato con Krebs ha affermato che la stessa Ubiquiti è stata violata e che il team legale dell’azienda ha impedito di segnalare accuratamente i pericoli ai clienti.

Ne vale la pena leggendo il rapporto di Krebs per vedere le accuse complete, ma il riepilogo è che gli hacker hanno avuto pieno accesso ai server AWS dell’azienda – dal momento che Ubiquiti avrebbe lasciato i login dell’amministratore di root in un account LastPass – e avrebbero potuto accedere a qualsiasi dispositivo di rete Ubiquiti che i clienti avevano configurato controllare tramite il servizio cloud dell’azienda (ora apparentemente richiesto su alcuni dei nuovi hardware dell’azienda).

“Sono stati in grado di ottenere segreti crittografici per i cookie single sign-on e l’accesso remoto, i contenuti di controllo completo del codice sorgente e l’esfiltrazione delle chiavi di firma”, ha detto la fonte a Krebs.

Quando Ubiquiti finalmente ha rilasciato una dichiarazione questa sera, non era rassicurante – è selvaggiamente insufficiente. La società ha ribadito che non aveva prove per indicare che i dati degli utenti fossero stati consultati o rubati. Ma come sottolinea Krebs, l’informatore ha dichiarato esplicitamente che la società non conserva i registri, che fungerebbero da prova, su chi ha o meno accesso ai server compromessi. La dichiarazione di Ubiquiti conferma anche che l’hacker ha tentato di estorcerlo per denaro, ma non affronta le accuse di insabbiamento. Puoi leggere la dichiarazione completa di seguito.

Come ti abbiamo informato l’11 gennaio, siamo stati vittime di un incidente di sicurezza informatica che ha comportato l’accesso non autorizzato ai nostri sistemi IT. Dato il rapporto di Brian Krebs, c’è un nuovo interesse e attenzione in questa materia, e vorremmo fornire alla nostra comunità maggiori informazioni.

All’inizio, tieni presente che nulla è cambiato rispetto alla nostra analisi dei dati dei clienti e alla sicurezza dei nostri prodotti dalla nostra notifica dell’11 gennaio. In risposta a questo incidente, abbiamo fatto leva su esperti esterni di risposta agli incidenti per condurre un’indagine approfondita per garantire l’attaccante è stato escluso dai nostri sistemi.

Questi esperti non hanno identificato alcuna prova che le informazioni sui clienti siano state consultate o addirittura prese di mira. L’aggressore, che ha tentato senza successo di estorcere la società minacciando di rilasciare codice sorgente rubato e credenziali IT specifiche, non ha mai affermato di aver avuto accesso alle informazioni del cliente. Questo, insieme ad altre prove, è il motivo per cui riteniamo che i dati dei clienti non fossero l’obiettivo dell’incidente o che non vi si accedesse in altro modo.

A questo punto, abbiamo prove ben sviluppate che l’autore del reato è un individuo con una conoscenza approfondita della nostra infrastruttura cloud. Poiché stiamo collaborando con le forze dell’ordine in un’indagine in corso, non possiamo commentare ulteriormente.
Detto questo, per precauzione, ti invitiamo comunque a cambiare la tua password se non l’hai già fatto, anche su qualsiasi sito web in cui utilizzi lo stesso ID utente o password. Ti invitiamo inoltre ad abilitare l’autenticazione a due fattori sui tuoi account Ubiquiti se non l’hai già fatto.

Grazie,
Interfaccia utente del team

L’altra cosa che noterai è che Ubiquiti non lo fissa più a un “provider di servizi cloud di terze parti”. L’azienda ammette di aver avuto accesso ai propri sistemi IT. Ma non affronta molto altro, e il fatto che la dichiarazione confermi alcune di ciò che ha detto l’informatore lasciando le parti più preoccupanti (ad esempio, il presunto insabbiamento, la mancanza di registri, le cattive pratiche di sicurezza, ecc.) mi disagio di essere un proprietario di Ubiquiti.

L’attrezzatura di rete dell’azienda è (o era) considerata attendibile da molti tecnici, me compreso, perché prometteva il pieno controllo sulla rete domestica o di piccole imprese, senza i timori delle soluzioni basate su cloud.

Durante questo processo, Ubiquiti non è riuscita a comunicare correttamente con i propri clienti. Il fatto che non neghi le accuse e indichi che potrebbero essere vere, suggerisce che l’email originale fosse, per lo meno, un avvertimento insufficiente. Ha incoraggiato gli utenti a modificare le proprie password: secondo Krebs, una risposta più appropriata sarebbe stata il blocco immediato di tutti gli account e la richiesta di reimpostazione della password. Ancora oggi, l’azienda incoraggia semplicemente gli utenti a modificare le proprie password e abilitare l’autenticazione a due fattori.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *