1月11日,Ubiquiti Inc. [纽约证券交易所:UI] - 支持云的内容的主要供应商(IOT)设备(IOT)设备,如路由器,网络视频录像机和安全摄像机 - 披露了涉及第三方云提供商的违规行为已曝光客户帐户凭据。现在是一个参与对该违规呼应的回答令人难以置信的令人难以置信的“灾难性”事件,以尽量减少股价的击中,并且第三方云提供商索赔是一种制作。
在概括的乌比提上的安全专业人士,帮助公司于2020年12月开始回应了为期两年的漏洞,在提高与乌比提的举报人热线和欧洲数据保护当局的担忧后联系了Krebsonsecurity。来源 - 我们会致电他亚当 - 因为令人害怕乌比提报复的条件而言。
“灾难性地糟糕的是报道,法律沉默和审判审判客户的努力,”亚当写在欧洲数据保护主管的一封信中。 “违规是大规模的,客户数据面临风险,访问在世界各地的公司和世界各地的客户的设备有风险。”
据亚当说,黑客在亚马逊Web服务(AWS)上获得了对Ubiquiti数据库的完整读/写访问,这是违反所涉及的“第三方”。他写道的乌比赔的违约披露是“淡化的,有目的地写的是暗示第三方云供应商处于危险之中,概括的是难以伤亡,而不是袭击的目标。”
在11月11日公告中,概括地说,凭借“未经授权访问第三方云提供商托管的某些信息技术系统”,虽然它拒绝命名第三方。
实际上,亚当说,攻击者在亚马逊的云服务中获得了乌比提的服务器的管理访问,该服务能够保护底层服务器硬件和软件,但需要云租户(客户端)来保护存储在那里的任何数据的访问。
“他们能够为单点登录cookie和远程访问,全源代码控制内容以及签名钥匙exfiltration的加密秘密,”亚当说。
亚当说,攻击者可以访问以前存储在Ubiquiti IT员工的LastPass帐户中的特权凭据,并获得了对所有Ubiquiti AWS帐户的root管理员访问,包括所有S3数据库,所有应用程序日志,所有数据库,所有用户数据库凭据和伪造单点登录(SSO)cookie所需的秘密。
这种访问可能允许入侵者远程验证世界各地基于无数基于云的云的设备。据其网站介绍,乌比提发布了超过8500万台设备,在全球200多个国家和地区的网络基础设施中发挥着关键作用。
亚当说,Ubiquiti的安全团队于2020年12月底拿起信号,即管理访问的人已经设置了几种没有考虑的Linux虚拟机。
当安全工程师在1月的第一周删除后门账户时,攻击者还提供了证明,他们窃取了乌比提的源代码,并承诺如果满足他们的赎金需求,则披露另一个后门的位置。
亚当说,乌比提没有与黑客互动,并最终发现事件反应团队发现第二个后门勒索者留在系统中。该公司将在未来几天疯狂地旋转所有员工的凭据,在乌比提开始警告客户需要重置密码之前。
但他坚持认为,随着公司于1月11日,当公司所做的,而不是要求客户更改他们的密码 - Ubiquiti应该立即使其所有客户的凭据无效并强制重置所有账户,主要是因为入侵者已经有凭据远程访问客户IOT系统所需的凭据。
“乌比迪有疏忽的日志记录(没有访问数据库的访问日志记录),因此它无法证明或反驳他们访问的内容,但攻击者将凭据定向到数据库,并创建了与网络连接的Linux实例,”亚当写在他的信。 “法律overrode重复请求强制旋转所有客户凭据,并在相关时段内还原任何设备访问权限更改。”
如果您安装了Ubiquiti设备,并且自今年1月11日以来尚未更改设备上的密码,现在将是照顾此类的好时机。
只需删除您在这些设备上使用的任何配置文件也可能是一个好主意,确保它们在最新固件上最新,然后重新创建具有新的[和最好是唯一]凭据的配置文件。并严重考虑禁用设备上的任何远程访问。
自公司违约披露以来,乌比金的股票价格显着增长。在新闻之后简要倾向之后,概述的股份于1月13日至370美元飙升。由市场关闭周二,UI已滑动至349美元。
3月31日,下午6:58 et:乌比提刚刚发表了一份声明,向其用户论坛表示其专家确定了“没有证据表明客户信息被访问,甚至是目标。”
然而,在这一点上,亚当很清楚:乌比提从未录制过谁可以访问这些文件或何时可以说,它可以说没有证据,因为没有任何访问日志来搜索。
“攻击者通过威胁要释放被盗源代码和特定的IT凭据而无法释放公司,从未声称已访问任何客户信息。这与其他证据一起是我们认为客户数据不是与事件相关的目标或以其他方式访问的原因。“
“此时,我们有明显的证据表明肇事者是一个具有复杂知识的个人知识我们的云基础设施。正如我们在正在进行的调查中与执法合作,我们无法进一步发表评论。“