Ubiquiti zbagatelizował włamanie do systemu? Są nowe, zaskakujące doniesienia
Do sieci trafiły nowe doniesienia dotyczące styczniowego włamania do systemów Ubiquiti, które rzucają na sprawę nowe światło. Choć oficjalnie przedstawiano ją jako stosunkowo niegroźną, teraz pojawiają się zarzuty, że Ubiquiti nie zareagował odpowiednio na opisywane zagrożenie, a opinii publicznej przedstawił problem jako niegroźny, choć w rzeczywistości taki był.
Jak tłumaczy KrebsOnSecurity, naruszenie bezpieczeństwa w praktyce było "katastrofą", ale producent miał je celowo zbagatelizować (przynajmniej w oficjalnej narracji), by nie zaszkodzić swoim wynikom na giełdzie i ogólnej opinii. Co najciekawsze, źródłem tego zarzutu jest sam pracownik Ubiquiti, który z zaangażowaniem pomagał zabezpieczyć systemy w firmie po opisywanym włamaniu do systemów.
"Naruszenie było masowe, dane klientów były zagrożone, dostęp do urządzeń klientów rozmieszczonych w korporacjach i domach na całym świecie był zagrożony" – tłumaczy anonimowy pracownik Ubiquiti w rozmowie z KrebsOnSecurity. Celem producenta miało być uciszenie sprawy i uniknięcie paniki klientów, która w tym przypadku byłaby uzasadniona.
Przypomnijmy, w wyniku naruszenia bezpieczeństwa systemów, w styczniu Ubiquiti wysłał do klientów wiadomość informującą o incydencie i zapewniającą, że nie ma dowodów na to, by ich dane wpadły w niepowołane ręce. To samo potwierdzono niedawno w nowym wpisie na stronie pomocy technicznej. Jak twierdzi anonimowy pracownik, generalnie nie jest to sprzeczne z prawdą, ale zaskoczeniem może być powód: według niego opisywanych dowodów włamania nie ma, bo... Ubiquiti nie zdołał odpowiednio ich zabezpieczyć.
Historia jest skomplikowana
Co ciekawe, od strony technicznej sprawa jest bardziej skomplikowana, niż się z pozoru wydaje. Jak podał pracownik Ubiquiti, pierwsze sygnały o nieautoryzowanym dostępie do systemu odebrano już w grudniu 2020 roku. Jak się okazało, włamywacz stworzył wówczas w systemie backdoor do wykorzystania w przyszłości. Gdy ten został załatany, atakujący zarządzał od Ubiquiti zapłaty równowartości 2,8 mln dolarów w bitcoinach w zamian za milczenie o problemie.
Żądanie zostało zignorowane, ale w systemie znaleziono kolejny backdoor i przez kilka dni zajmowano się jego analizą. Dopiero później zdecydowano się poinformować użytkowników urządzeń Ubiquiti o konieczności zmiany hasła przy okazji kolejnego logowania. Jak zwraca uwagę pracownik, to również nieporozumienie – dla bezpieczeństwa wszystkie hasła użytkowników należało od razu unieważnić, bo na tym etapie włamywacze dysponowali już dostępem do ich kont.
Dodatkowe konsekwencje na razie nie zostały wyciągnięte. Użytkownikom sprzętu i usług Ubiquiti zaleca się sprawdzić, czy od czasu styczniowego wezwania zdążyli już zmienić hasła, a jeśli nie – by zrobili to bezzwłocznie. Istotna jest również aktualizacja oprogramowania do najnowszego, pozbawionego znanych luk.
Należy pamiętać, że potencjalny wyciek danych obejmuje wszystkie dane wykorzystywane przez sprzęt i usługi Ubiquiti, z danymi rozliczeniowymi na czele. Napastnik może tym samym nie tylko wprost zaatakować konto ofiary, ale też, a może przede wszystkim podszyć się pod nią, generując jeszcze poważniejsze szkody. W skrajnym przypadku niczego nieświadomej ofierze grożą zarzuty karne, z których później trzeba będzie się tłumaczyć.
