DATAANGREP

Varsler: Global IoT-leverandør bagatelliserte «katastrofalt» datainnbrudd

Hackere skal ha fått full tilgang til både nettskytjenester og brukerenheter levert av Ubiquiti.

Sikkerhetskameraer fra Ubiquiti er blant produktene som ondsinnede hackere kan ha fått tilgang til.
Sikkerhetskameraer fra Ubiquiti er blant produktene som ondsinnede hackere kan ha fått tilgang til. Illustrasjonsfoto: Ubiquiti
Harald BrombachHarald BrombachNyhetsleder
31. mars 2021 - 10:47

Ubiquiti Networks, en større leverandør av blant annet nettskytilknyttede sikkerhetskameraer, videoopptakere og nettverksutstyr, har kommet ut for hardt vær. I januar i år opplyste selskapet at det var blitt berørt av at en tredjeparts nettskyleverandør hadde eksponert innloggingsinformasjon til kundekontoer. 

Selskapet varslet kundene via epost og ba dem bytte passord, og saken så ut til å være ute av verden. 

I andre etasje på dette bygget i Moss holder Total Revisjon DA til. De ble utsatt for et løsepengeangrep og både kundedata og deres egne opplysninger er på avveie.
Les også

Data på avveie: Varslet verken kunder eller Datatilsynet om hackerangrep

«Katastrofalt» angrep

Nå har en varsler kommet med en helt ny versjon av hva som egentlig skjedde. Den har han fortalt til den kjente sikkerhetsbloggeren Brian Krebs, men angivelig også til Det europeiske datatilsynet. Krebs kjenner identiteten til varsleren, men kaller vedkommende bare for «Adam».

Varsler hevder at Ubiquiti har bagatellisert hendelsen for å unngå et kraftig fall i aksjekursen. Han hevder også at hele påstanden om at innloggingsinformasjonen ble eksponert hos en underleverandør, er fabrikkert.

I stedet skal det ha dreid seg om et «katastrofalt» angrep mot Ubiquitis databaser i Amazon Web Services (AWS), hvor angriperne skal ha oppnådd full lese- og skrivetilgang, i tillegg til administratortilgang til flere av Ubiquitis øvrige tjenester og server i AWS, samt tilgang til kildekode og kryptografiske hemmeligheter. 

Varsleren hevder at mener at angriperne kunne ha fått tilgang til både kundedata og Ubiquiti-enheter hos både privat- og bedriftskunder globalt. Selskapet skal ha levert mer enn 85 millioner enheter.

Installerte bakdører

I hvilken grad angriperne har benyttet seg av denne tilgangen er uklart, men muligens har de bare installert en bakdør for framtidig utnyttelse. Denne bakdøren skal ha blitt oppdaget og fjernet av sikkerhetsteamet til Ubiquiti i desember i fjor. Noe senere skal selskapet ha mottatt en melding hvor angriperne lovet å holde tyst om det hele, samt avsløre nok en bakdør, mot en utbetaling på 50 bitcoin, nærmer 25 millioner kroner med dagens kurs. 

Ubiquiti skal ikke ha svart på henvendelsen. Den andre bakdøren skal ha blitt funnet. 

Varsleren mener det dessuten var for sent å be brukerne om å bytte passord i januar. Han mener at selskapet i stedet burde ha resatt alle brukerkontoene, siden angriperne allerede hadde tilgang til den innloggingsinformasjonen de trengte for å få tilgang til brukernes enheter. 

Krebs skriver at brukerne nå ikke bare bør sørge for at de har byttet passord siden januar, men at det vil være fornuftig å slette enhver brukerprofil som måtte finnes på Ubiquiti-enhetene, oppdatere fastvaren på enhetene og å gjenopprette profiler på enhetene med ny og unik innloggingsinformasjon. I tillegg bør det vurderes om fjerntilgang til enhetene er nødvendig. 

Rammet på børsen

Ifølge Krebs har aksjekursen til Ubiquiti steget fra 243 dollar den 13. januar til 370 dollar den 30. mars. Den rakk å synke til 349 dollar før børsen stengte i går kveld. 

Bare kort tid etter at Krebs publiserte blogginnlegget, begynte det å komme reaksjoner fra advokatfirmaer som har startet etterforskning av hendelsene for å avklare om selskapet og visse personer i toppledelsen kan være skyldige i svindel. Dette gjøres på vegne av aksjonærer som risikerer store tap dersom aksjekursen stuper i tiden framover. 

Det ser så langt ikke ut til at Ubiquiti har kommet med noen offisiell uttalelse om anklagene.

Blue Screen of Death på en storskjerm i Newark International Airport i USA.
Les også

Sikkerhetseksperter: Vi lærer ingenting og endrer ingenting

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.