Ubiquiti Networks, en større leverandør av blant annet nettskytilknyttede sikkerhetskameraer, videoopptakere og nettverksutstyr, har kommet ut for hardt vær. I januar i år opplyste selskapet at det var blitt berørt av at en tredjeparts nettskyleverandør hadde eksponert innloggingsinformasjon til kundekontoer.
Selskapet varslet kundene via epost og ba dem bytte passord, og saken så ut til å være ute av verden.
Data på avveie: Varslet verken kunder eller Datatilsynet om hackerangrep
«Katastrofalt» angrep
Nå har en varsler kommet med en helt ny versjon av hva som egentlig skjedde. Den har han fortalt til den kjente sikkerhetsbloggeren Brian Krebs, men angivelig også til Det europeiske datatilsynet. Krebs kjenner identiteten til varsleren, men kaller vedkommende bare for «Adam».
Varsler hevder at Ubiquiti har bagatellisert hendelsen for å unngå et kraftig fall i aksjekursen. Han hevder også at hele påstanden om at innloggingsinformasjonen ble eksponert hos en underleverandør, er fabrikkert.
I stedet skal det ha dreid seg om et «katastrofalt» angrep mot Ubiquitis databaser i Amazon Web Services (AWS), hvor angriperne skal ha oppnådd full lese- og skrivetilgang, i tillegg til administratortilgang til flere av Ubiquitis øvrige tjenester og server i AWS, samt tilgang til kildekode og kryptografiske hemmeligheter.
Varsleren hevder at mener at angriperne kunne ha fått tilgang til både kundedata og Ubiquiti-enheter hos både privat- og bedriftskunder globalt. Selskapet skal ha levert mer enn 85 millioner enheter.
Installerte bakdører
I hvilken grad angriperne har benyttet seg av denne tilgangen er uklart, men muligens har de bare installert en bakdør for framtidig utnyttelse. Denne bakdøren skal ha blitt oppdaget og fjernet av sikkerhetsteamet til Ubiquiti i desember i fjor. Noe senere skal selskapet ha mottatt en melding hvor angriperne lovet å holde tyst om det hele, samt avsløre nok en bakdør, mot en utbetaling på 50 bitcoin, nærmer 25 millioner kroner med dagens kurs.
Ubiquiti skal ikke ha svart på henvendelsen. Den andre bakdøren skal ha blitt funnet.
Varsleren mener det dessuten var for sent å be brukerne om å bytte passord i januar. Han mener at selskapet i stedet burde ha resatt alle brukerkontoene, siden angriperne allerede hadde tilgang til den innloggingsinformasjonen de trengte for å få tilgang til brukernes enheter.
Krebs skriver at brukerne nå ikke bare bør sørge for at de har byttet passord siden januar, men at det vil være fornuftig å slette enhver brukerprofil som måtte finnes på Ubiquiti-enhetene, oppdatere fastvaren på enhetene og å gjenopprette profiler på enhetene med ny og unik innloggingsinformasjon. I tillegg bør det vurderes om fjerntilgang til enhetene er nødvendig.
Rammet på børsen
Ifølge Krebs har aksjekursen til Ubiquiti steget fra 243 dollar den 13. januar til 370 dollar den 30. mars. Den rakk å synke til 349 dollar før børsen stengte i går kveld.
Bare kort tid etter at Krebs publiserte blogginnlegget, begynte det å komme reaksjoner fra advokatfirmaer som har startet etterforskning av hendelsene for å avklare om selskapet og visse personer i toppledelsen kan være skyldige i svindel. Dette gjøres på vegne av aksjonærer som risikerer store tap dersom aksjekursen stuper i tiden framover.
Det ser så langt ikke ut til at Ubiquiti har kommet med noen offisiell uttalelse om anklagene.
Sikkerhetseksperter: Vi lærer ingenting og endrer ingenting