Četrtek, 1. 4. 2021, 22.01
3 leta, 7 mesecev
Prikritje katastrofalnega incidenta, ki zadeva tudi slovenske kupce
Ameriško podjetje Ubiquiti, ki proizvaja omrežno opremo za brezžični internet, ta se dobro prodaja tudi v Sloveniji, je v začetku tega leta prikrilo izredno resen varnostni incident, ki bi lahko ogrozil tako rekoč vse uporabnike njihovih naprav. Dogodka, ki ga je enemu od najbolj znanih strokovnjakov za informacijsko varnost na svetu razkril žvižgač iz podjetja in ga označil za katastrofalnega, Ubiquiti ne zanika.
Kako se je začelo
Ubiquiti je 11. januarja letos uporabnikom svoje omrežne opreme, med potrošniki je podjetje znano predvsem po usmerjevalnikih in dostopnih točkah, poslalo e-poštno sporočilo, da se je zgodil varnostni incident in da naj zamenjajo svoja gesla za dostop do portala ui.com ter vklopijo dvostopenjsko preverjanje identitete.
Neznani storilci so, tako so januarja zapisali pri Ubiquitiju, pridobili dostop do baze podatkov, v kateri so bila uporabniška imena, e-poštni naslovi, šifrirana gesla in morda tudi domači naslovi ter telefonske številke uporabnikov.
Žvižgač iz podjetja je pozneje razkril, da so hekerji Ubiquiti tudi izsiljevali za večjo količino bitcoinov, a jih niso dobili.
Ubiquiti je krivdo za dogodek takrat zvalil na ponudnika računalništva v oblaku (to je bil Amazon Web Services), katerega storitev najema podjetje.
Druge informacije o varnostnem incidentu so bile skope. Ubiquiti januarja ni razkril, kdaj natanko se je zgodil hekerski vdor, koliko uporabnikov bi bilo po njihovem mnenju lahko prizadetih in kakšne bi lahko bile morebitne posledice hekerskega vdora za uporabnike, na primer.
Vse skupaj se je takrat sicer zdelo bolj ali manj nenevarno. Sklepati je bilo mogoče le, da so se kiberkriminalci dokopali zgolj do osebnih podatkov uporabnikov Ubiquitijevega spletnega portala ui.com, ki je namenjen predvsem pomoči strankam.
Kaj se je zgodilo v resnici
Zdaj se je izkazalo, da je bila zadeva pravzaprav smrtno resna. Eden od zaposlenih v podjetju, ki je bil januarja vpleten v reševanje krize, ki jo je povzročil hekerski vdor, je namreč razkril, da je šlo za "katastrofalen incident". Dogodek je prijavil evropskim regulatorjem za zaščito osebnih podatkov, stopil pa je tudi v stik z Brianom Krebsom, enim od vodilnih svetovnih strokovnjakov za informacijsko varnost.
Po pričevanju žvižgača so neznani storilci pridobili dostop do vsega, kar bi jim lahko omogočilo prevzem nadzora nad milijoni omrežnih naprav Ubiquitija v gospodinjstvih in podjetjih po vsem svetu. Ni šlo torej zgolj za uporabniška imena in e-poštne naslove, temveč za tako rekoč vse računalniške skrivnosti podjetja, ki jih je Ubiquiti shranjeval v svojem oblaku.
Strokovnjak za informacijsko varnost Brian Krebs je prepričan, da se je Ubiquiti na hekerski vdor, kar zadeva svetovanje uporabnikom, odzval zelo medlo. Ubiquiti jim namreč še naprej priporoča zgolj zamenjavo gesla, medtem ko Krebs meni, da bi moral Ubiquiti takoj, ko so izvedeli za resnično razsežnost vdora, na daljavo resetirati vso aktivno omrežno opremo in uporabnike šele nato obvestiti, naj si nastavijo nova gesla.
Še to, za vdor ni bil kriv ponudnik storitve računalništva v oblaku, torej Amazon Web Services, kot so sprva trdili v podjetju, temveč so hekerji enemu od zaposlenih pri Ubiquitiju ukradli geslo za njegov račun LastPass, v katerem je shranjeval vsa svoja druga gesla, torej tudi tistega za administrativni dostop do podatkov podjetja v oblaku AWS.
Med incidentom, ki se je po besedah žvižgača zgodil decembra lani, so kiberkriminalci podtaknili tudi dvoje tako imenovanih zadnjih vrat, ki bi jim omogočila stalen neoviran dostop do podatkov podjetja. Zaposleni pri Ubiquiti so jih odkrili in odstranili šele v začetku januarja tik pred prvim obvestilom za javnost, da se je zgodil varnostni incident.
Žvižgač je Brianu Krebsu in evropskim regulatorjem še razkril, da je Ubiquiti prek pravne službe prikril resnično razsežnost incidenta.
Še naprej zelo skope uradne informacije, a hujšega incidenta več ne zanikajo
Prikrivanja resnosti dogodka Ubiquiti v sredini izjavi za javnost ni zanikal. Še enkrat so ponovili, da za zdaj ni dokazov, da bi hekerji sploh ukradli podatke oziroma dostopali do njih. Toda žvižgač je po poročanju Briana Krebsa opozoril, da podjetje Ubiquiti ne vodi evidence o tem, kdo dostopa do njihovih strežnikov. Evidence, ki bi lahko bila dokazni material.
Ubiquiti je v novi izjavi za javnost tudi potrdil navedbe žvižgača, da so jih hekerji poskusili izsiljevati, in sicer so zahtevali 50 enot kriptovalute bitcoin v takratni vrednosti okrog treh milijonov ameriških dolarjev, a jim v podjetju niso ustregli.
Ubiquiti je sicer tudi obrnil ploščo in za incident ne krivi več ponudnika računalništva v oblaku AWS, temveč priznava, da je bila vektor napada njihova lastna tehnološka infrastruktura.
Ubiquiti je eden od velikih, cenjen je tudi v Sloveniji
Kakšne bodo posledice teh razkritij, še ni jasno. Dejstvo je, da Ubiquiti na trgu omrežne opreme ni majhen igralec, temveč je v zadnjih letih postal eden od najbolj prepoznavnih proizvajalcev, njegovi izdelki pa slovijo predvsem po prijaznosti do uporabnikov.
Tudi v slovenskih spletnih trgovinah z elektroniko so naprave znamke Ubiquiti, predvsem dostopne točke, v kategorijah omrežne opreme pogosto v samem vrhu seznamov najbolje prodajanih artiklov.
Preberite tudi:
1