Afgelopen januari bracht Ubiquiti zijn klanten op de hoogte van een datalek. Een inbraak via een externe cloudprovider zou toegang hebben gegeven tot inloggegevens van klanten. Volgens een klokkenluider gaat het om een ‘catastrofaal’ incident dat Ubiquiti heeft gebagatelliseerd om te voorkomen dat de aandelenkoers zou kelderen.
Een beveiligingsmedewerker van Ubiquiti laat anoniem weten dat het datalek vele malen erger is dan dat het bedrijf beweert. “Het lek was gigantisch: klantgegevens liepen gevaar en toegang tot apparaten van klanten die gebruikt werden in bedrijven en huizen over de hele wereld waren in gevaar”. Ubiquiti heeft nog niet gereageerd op deze beweringen.
Hackers zouden volledige toegang gekregen hebben tot de Ubiquiti databases bij Amazon Web Services, de vermeende derde partij waar Ubiquiti het over had in de bekendmaking van het lek. In zijn verklaring liet Ubiquiti het lijken alsof de cloud provider gevaar liep en dat Ubiquiti daar het slachtoffer van was. In werkelijkheid zou Ubiquiti zelf het doelwit van de aanval zijn.
Hoe kregen aanvallers toegang tot Ubiquiti accounts?
Volgens de klokkenluider hadden aanvallers toegang tot inloggegevens via het LastPass-account van een Ubiquiti IT-medewerkers. Op die manier kregen ze root toegang tot alle Ubiquiti AWS-accounts. Met deze toegang waren aanvallers in staat om op afstand toegang te krijgen tot talloze Ubiquiti cloud-based apparaten over de hele wereld.
De klokkenluider beweert dat het beveiligingsteam van Ubiquiti eind december signalen oppikte van iemand met beheerderstoegang die meerdere Linux virtuele machines opzette die niet verantwoord waren. Vervolgens vond het team een achterdeur die de inbreker had achtergelaten in het systeem.
‘Ubiquiti reageerde verkeerd op het datalek’
In de eerste week van januari verwijderden beveiligingsonderzoekers de achterdeur. De aanvallers reageerden hierop door een bericht te sturen waarin ze 50 bitcoin eisten. In ruil daarvoor zouden ze zwijgen over het datalek en de locatie van een tweede achterdeur bekendmaken. Ubiquiti reageerde niet op dit verzoek.
De eerste reactie die Ubiquiti had op het datalek, was om te zorgen dat alle medewerkers hun wachtwoorden veranderen. Pas later stelden ze hun klanten op de hoogte van de noodzaak om hun wachtwoorden te resetten.
Volgens de klokkenluider had het bedrijf eerst aan zijn klanten moeten denken. Klanten zouden al veel eerder op de hoogte gebracht moeten worden, zodat ze op tijd hun wachtwoord konden veranderen.
In hoeverre het verhaal van de klokkenluider klopt, is onbekend. Feit blijft dat het een goed idee is om een nieuw wachtwoord in te stellen voor je Ubiquiti-apparaten, als je dat nog niet had gedaan.
Update 01/04 7u: Block & Leviton LLP, specialist in rechtszaken rond effecten, bevestigt aan Yahoo dat het een onderzoek is gestart naar Ubiquiti om na te kijken of het geen federale wetten heeft geschonden door de invloed op de aandelenprijs te beperken. Na het nieuws gisteren dat Ubiquiti zou hebben gesjoemeld met de info rond het datalek, kende de het beursaandeel een daling van 21,26 procent. Hiermee staat het nog steeds 25 procent hoger dan midden januari toen het datalek aan het licht kwam.