Ubiquiti verzweeg werkelijke impact van ernstig datalek voor klanten

[Captain Kirk]

Netwerkfabrikant Ubiquiti heeft de werkelijke impact van een datalek waar het in januari klanten voor waarschuwde verzwegen en bepaalde details verzonnen, om zo de gevolgen voor de aandelenkoers te beperken. Dat laat een anonieme klokkenluider tegenover it-journalist Brian Krebs weten. Ubiquiti wilde niet tegenover Krebs reageren en klanten eisen nu opheldering.

Ubiquiti waarschuwde klanten op 11 januari voor een mogelijk datalek nadat onbevoegden toegang tot verschillende systemen van het netwerkbedrijf hadden gekregen. Deze systemen werden bij een externe niet nader genoemde cloudprovider gehost. Althans, dat was de uitleg van Ubiquiti. De klokkenluider, die het getroffen netwerkbedrijf bijstond, stelt dat Ubiquiti het verhaal opzettelijk heeft verzonnen om te doen alsof de third-party cloudprovider risico liep en Ubiquiti slechts een slachtoffer daarvan was geworden. In werkelijkheid was het netwerkbedrijf zelf een direct doelwit van de aanval en was de impact daarvan vele malen groter dan in de waarschuwing aan klanten werd voorgesteld.

De aanvallers wisten volgens de klokkenluider toegang tot inloggegevens te krijgen die in het LastPass-account van een Ubiquiti-medewerker waren opgeslagen. Daarmee konden ze op alle Amazon Web Services-accounts van het netwerkbedrijf als root administrator inloggen. Het ging onder andere om alle S3-buckets die voor de opslag van data worden gebruikt, alle applicatielogs, alle databases, alle inloggegevens van gebruikersdatabases en secrets vereist voor het creëren van single sign-on (SSO) cookies. Tevens hadden de aanvallers toegang tot de broncode van Ubiquiti

Met dergelijke toegang hadden de aanvallers op afstand kunnen inloggen op tal van cloud-gebaseerde netwerkapparaten van Ubiquiti. Het bedrijf claimt dat het meer dan 85 miljoen netwerkapparaten heeft geleverd die een belangrijk onderdeel vormen van netwerken wereldwijd. Ubiquiti ontdekte eind december dat iemand met beheerderstoegang verschillende onbekende Linux virtual machines had aangemaakt. Vervolgens werd er een backdoor ontdekt die de aanvallers hadden achtergelaten.

Nadat de onderzoekers dit backdoor-account in de eerste week van januari hadden verwijderd reageerden de aanvallers dat ze 2,8 miljoen dollar eisten om het datalek stil te houden. Tevens gaven de aanvallers bewijs dat ze de broncode van Ubiquiti hadden buitgemaakt en beloofden om de aanwezigheid van een tweede backdoor te openbaren. Ubiquiti ging hier niet op in en het onderzoeksteam ontdekte uiteindelijk de tweede achtergelaten backdoor.

De dagen daarna werden alle inloggegevens van medewerkers gereset, waarna klanten werd aangeraden om hun wachtwoorden te wijzigen. Volgens de klokkenluider had Ubiquiti klanten niet moeten vragen om hun wachtwoord te resetten, maar had het bedrijf dit moeten afdwingen. Met name omdat de aanvallers over inloggegevens beschikten waarmee ze op afstand konden inloggen op de systemen van klanten.

Ubiquiti logde niet wie er toegang tot de databases had, waardoor het niet kon bewijzen of ontkennen wat de aanvallers hadden buitgemaakt, aldus de klokkenluider. Tevens zou de juridische afdeling van Ubiquiti herhaaldelijke verzoeken om de wachtwoorden van klanten te resetten en aanpassingen in de betreffende periode terug te draaien hebben afgeschoten. Eigenaren van een Ubiquiti-apparaat die hun wachtwoord sinds 11 januari van dit jaar niet hebben aangepast wordt aangeraden dit alsnog te doen. Op het forum van Ubiquiti eisen klanten inmiddels opheldering, maar ook daar heeft het bedrijf nog niet gereageerd.

 

bron: https://www.security.nl