11 января компания Ubiquiti — крупный поставщик устройств Интернета вещей, таких как маршрутизаторы, видеорегистраторы и камеры видеонаблюдения, — сообщила о взломе. Источник внутри компании утверждает, что Ubiquiti сильно преуменьшила значение инцидента, чтобы минимизировать удар по цене своих акций.

Как пишет журналист Брайан Кребс, с ним связался специалист по безопасности в Ubiquiti. Он рассказал, что происшествие имело «катастрофически худшие последствия, чем сообщала компания». По его словам, взлом был массовым, данные клиентов оказались под угрозой, злоумышленники имели возможность получить доступ к устройствам клиентов в корпорациях и домах по всему миру.

В своем публичном уведомлении от 11 января Ubiquiti сообщила, что ей стало известно о «несанкционированном доступе к некоторым системам информационных технологий, размещенным сторонним поставщиком облачных услуг». Компания отказалась назвать третью сторону. 

По словам инсайдера, хакеры получили полный доступ к базам данных Ubiquiti в Amazon Web Services (AWS), которая и была «третьей стороной». Он утверждает, что злоумышленники получили root-доступ ко всем учетным записям Ubiquiti AWS, включая журналы приложений, базы данных и т.д. Такой доступ мог позволить злоумышленникам удаленно пройти аутентификацию на 85 млн устройствах Ubiquiti по всему миру.

Инсайдер рассказал, что в конце декабря 2020 года служба безопасности Ubiquiti получила сигнал о нарушении и обнаружила бэкдор, который злоумышленники оставили в системе. Взломщики отправили Ubiquiti сообщение о том, что они хотят 50 биткоинов (~ $2,8 миллиона) в обмен на обещание хранить молчание об атаке, предоставили доказательства того, что они украли исходный код Ubiquiti, и пообещали раскрыть местонахождение другого бэкдора, если их требование будет выполнено.

По словам инсайдера, Ubiquiti не вступала в контакт с хакерами, и в конечном итоге служба безопасности нашла второй бэкдор. Следующие несколько дней компания спешно меняла учетные данные для всех сотрудников, после чего начала предупреждать клиентов о необходимости сбросить их пароли.

Но инсайдер утверждает, что вместо этого Ubiquiti должна была немедленно аннулировать все учетные данные своих клиентов и принудительно выполнить сброс всех учетных записей, так как у злоумышленников уже были все данные, необходимые для удаленного доступа к устройствам клиентов.

Как пишет Кребс, тем, у кого установлены устройства Ubiquiti, необходимо сменить пароли или просто удалить все профили; убедиться, что устройства обновлены до последней версии, и заново создать учетные записи. Он также советует серьезно подумать об отключении удаленного доступа к оборудованию.

31 марта Ubiquiti опубликовала заявление, в котором говорилось, что ее эксперты не выявили «никаких доказательств того, что к злоумышленники получили доступ к информации о клиентах».

«Злоумышленники, которые безуспешно пытались вымогать деньги у компании, никогда не заявляли, что имели доступ к какой-либо информации о клиентах. Мы считаем, что данные о клиентах не были целью инцидента и не использовались каким-либо образом в связи с инцидентом», — заявляют в Ubiquiti.