Jak tłumaczy KrebsOnSecurity, naruszenie bezpieczeństwa w praktyce było "katastrofą", ale producent miał je celowo zbagatelizować (przynajmniej w oficjalnej narracji), by nie zaszkodzić swoim wynikom na giełdzie i ogólnej opinii. Co najciekawsze, źródłem tego zarzutu jest sam pracownik Ubiquiti, który z zaangażowaniem pomagał zabezpieczyć systemy w firmie po opisywanym włamaniu do systemów.
"Naruszenie było masowe, dane klientów były zagrożone, dostęp do urządzeń klientów rozmieszczonych w korporacjach i domach na całym świecie był zagrożony" – tłumaczy anonimowy pracownik Ubiquiti w rozmowie z KrebsOnSecurity. Celem producenta miało być uciszenie sprawy i uniknięcie paniki klientów, która w tym przypadku byłaby uzasadniona.
Przypomnijmy, w wyniku naruszenia bezpieczeństwa systemów, w styczniu Ubiquiti wysłał do klientów wiadomość informującą o incydencie i zapewniającą, że nie ma dowodów na to, by ich dane wpadły w niepowołane ręce. To samo potwierdzono niedawno w nowym wpisie na stronie pomocy technicznej. Jak twierdzi anonimowy pracownik, generalnie nie jest to sprzeczne z prawdą, ale zaskoczeniem może być powód: według niego opisywanych dowodów włamania nie ma, bo... Ubiquiti nie zdołał odpowiednio ich zabezpieczyć.
Historia jest skomplikowana
Co ciekawe, od strony technicznej sprawa jest bardziej skomplikowana, niż się z pozoru wydaje. Jak podał pracownik Ubiquiti, pierwsze sygnały o nieautoryzowanym dostępie do systemu odebrano już w grudniu 2020 roku. Jak się okazało, włamywacz stworzył wówczas w systemie backdoor do wykorzystania w przyszłości. Gdy ten został załatany, atakujący zarządzał od Ubiquiti zapłaty równowartości 2,8 mln dolarów w bitcoinach w zamian za milczenie o problemie.
Żądanie zostało zignorowane, ale w systemie znaleziono kolejny backdoor i przez kilka dni zajmowano się jego analizą. Dopiero później zdecydowano się poinformować użytkowników urządzeń Ubiquiti o konieczności zmiany hasła przy okazji kolejnego logowania. Jak zwraca uwagę pracownik, to również nieporozumienie – dla bezpieczeństwa wszystkie hasła użytkowników należało od razu unieważnić, bo na tym etapie włamywacze dysponowali już dostępem do ich kont.
Dodatkowe konsekwencje na razie nie zostały wyciągnięte. Użytkownikom sprzętu i usług Ubiquiti zaleca się sprawdzić, czy od czasu styczniowego wezwania zdążyli już zmienić hasła, a jeśli nie – by zrobili to bezzwłocznie. Istotna jest również aktualizacja oprogramowania do najnowszego, pozbawionego znanych luk.
Należy pamiętać, że potencjalny wyciek danych obejmuje wszystkie dane wykorzystywane przez sprzęt i usługi Ubiquiti, z danymi rozliczeniowymi na czele. Napastnik może tym samym nie tylko wprost zaatakować konto ofiary, ale też, a może przede wszystkim podszyć się pod nią, generując jeszcze poważniejsze szkody. W skrajnym przypadku niczego nieświadomej ofierze grożą zarzuty karne, z których później trzeba będzie się tłumaczyć.