Ubiquiti bevestigt afpersing met gestolen broncode en inloggegevens
Netwerkfabrikant Ubiquiti heeft bevestigd dat een aanvaller eind vorig jaar broncode en inloggegevens heeft buitgemaakt waarmee vervolgens werd geprobeerd om het bedrijf af te persen. Klantgegevens zijn voor zover nu bekend niet door de aanvaller benaderd, zo laat Ubiquiti in een nieuwe verklaring over het datalek weten, die volgt op een bericht dat de netwerkfabrikant de werkelijke impact van het datalek voor klanten heeft verzwegen.
Ubiquiti waarschuwde klanten op 11 januari voor een mogelijk datalek nadat onbevoegden toegang tot verschillende systemen van het netwerkbedrijf hadden gekregen. Deze systemen werden bij een externe niet nader genoemde cloudprovider gehost. Een klokkenluider die naar eigen zeggen Ubiquiti bijstond na ontdekking van de aanval kwam tegenover it-journalist Brian Krebs met een heel ander verhaal.
Volgens de klokkenluider had het bedrijf het verhaal over de externe cloudprovider opzettelijk verzonnen om te doen alsof de third-party cloudprovider risico liep en Ubiquiti slechts een slachtoffer daarvan was geworden. In werkelijkheid was het netwerkbedrijf zelf een direct doelwit van de aanval en was de impact daarvan vele malen groter dan in de waarschuwing aan klanten werd voorgesteld.
Zo zou de aanvaller toegang tot inloggegevens hebben gekregen die in het LastPass-account van een Ubiquiti-medewerker waren opgeslagen. Daarmee kon de aanvaller op alle Amazon Web Services-accounts van het netwerkbedrijf als root administrator inloggen. Het ging onder andere om alle S3-buckets die voor de opslag van data worden gebruikt, alle applicatielogs, alle databases, alle inloggegevens van gebruikersdatabases en secrets vereist voor het creëren van single sign-on (SSO) cookies. Tevens had de aanvaller toegang tot de broncode van Ubiquiti.
De aanvaller eiste volgens de klokkenluider 2,8 miljoen dollar om het datalek stil te houden. Ubiquiti ging hier niet op in. De netwerkfabrikant wilde niet tegenover Krebs op de claims van de klokkenluider reageren, maar heeft op het eigen forum, waar klanten massaal om opheldering vroegen, een nieuwe verklaring gegeven. Daarin stelt het bedrijf dat er geen bewijs is gevonden dat de aanvaller klantgegevens heeft benaderd of dat dit het doel was.
Wel bevestigt Ubiquiti dat de aanvaller heeft geprobeerd om het bedrijf met gestolen broncode en inloggegevens af te persen, maar dat deze poging onsuccesvol was. Ook zou de aanvaller nooit hebben laten weten dat hij klantgegevens in bezit had. "Dit, in combinatie met het andere bewijs, is waarom we denken dat klantgegevens niet het doelwit waren, of zijn benaderd, als gevolg van dit incident", zo laat de verklaring weten.
Afsluitend meldt Ubiquiti dat de dader een persoon is met een zeer uitgebreide kennis van de cloudinfrastructuur van de netwerkfabrikant. Aangezien het onderzoek nog gaande is zegt Ubiquiti geen verdere informatie te kunnen delen. Tevens kwam het bedrijf onder vuur te liggen omdat het klanten na ontdekking van het datalek niet heeft gedwongen hun wachtwoord te wijzigen, maar dit alleen adviseerde. In de verklaring worden klanten opnieuw opgeroepen om hun wachtwoord te wijzigen en tweefactorauthenticatie in te schakelen.
Ik was tot op heden erg tevreden met hun apparaten (heb er nu 5 thuis) maar ga toch overwegen om een volgende keer over te stappen naar een ander merk.
Erg veel imagoschade levert dit op.
Volgens https://help.ui.com/hc/en-us/articles/115012986607-How-to-Enable-Disable-Two-Factor-Authentication-2FA- gaat het hierbij om 6-cijferige TOTP (Time-based One-time Password) codes zoals ondersteund door vele "authenticator" apps. Daarbij wordt gebruik gemaakt van een "shared secret" dat zowel op de server als op het device van de gebruiker bekend is. In tegenstelling tot wat bij wachtwoorden mogelijk is, kan er op de server géén afgeleide (zoals een hash of het resultaat van functies als pbkdf2, argon2 etc.) van zo'n TOTP shared secret worden opgeslagen (dat geldt ook voor rescue codes die kunnen worden gebruikt bij bijv. verlies of defectraken van een user-device).
In principe kan dat behoorlijk veilig, door de per user in de database opgeslagen shared secrets, te versleutelen met een sleutel in een HSM (Hardware Security Module) welke tevens de 6-cijferige server-side codes genereert (om te voorkomen dat decrypted secrets de HSM verlaten).
Als de TOTP-gerelateerde shared secrets onversleuteld in een database staan die Ubiquity kennelijk niet kan beschermen, helpt 2FA hier geen zier en biedt het vooral een vals gevoel van veiligheid.
is een clone
Als je zelf je controller host maak em dan niet bereikbaar vanaf internet maar alleen vanaf je eigen netwerk.
Maak liefst een apart management netwerk (voor de controller en de devices). Geef de controller geen internet toegang,
behalve eventueel tijdelijk als je updates wilt doen. En dat wil je nu niet.
Ik was tot op heden erg tevreden met hun apparaten (heb er nu 5 thuis) maar ga toch overwegen om een volgende keer over te stappen naar een ander merk.
Erg veel imagoschade levert dit op.
Wanneer je bij de portal aanmeld van Ubiquiti https://account.ui.com/login?redirect=https%3A%2F%2Funifi.ui.com%2Fdashboard
Kun je daar vervolgens 2FA aanzetten en werkt dit ook direct binnen de lokale controller in combinatie met een Authenticator app (bijvoorbeeld Microsoft Authenticator). Heb remote access op de controller uitstaan (dus ook niet van buitenaf benaderbaar).
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
