Взлом Ubiquiti: учетную запись нужно удалить и создать заново

Крупный поставщик облачных IoT-устройств Ubiquiti скрывает серьезность утечки данных, которая подвергает оборудование клиентов риску несанкционированного доступа, сообщает KrebsOnSecurity со ссылкой на неназванного информатора внутри компании. Тот рассказал, что руководители Ubiquiti занижают серьезность утечки, чтобы уменьшить удар по цене акций компании.

В статье KrebsOnSecurity говорится, что нарушения безопасности происходят из-за того, что Ubiquiti заставляет пользователей логиниться, чтобы настроить устройства с новыми версиями прошивки. Клиенты компании жалуются на требования в связи с рисками, которые они влекут для безопасности устройств пользователей. Опасения связаны с цепочкой взломов и раскрытием информации, которые начались в январе.

По словам информатора, атака носила катастрофический масштаб. Злоумышленники получили полный доступ с правами чтения и записи данных Ubiquiti в облачной службе Amazon, которая защищает безопасность базового серверного оборудования и программного обеспечения. Злоумышленники получили доступ к привилегированным учетным данным, которые хранились в учетной записи LastPass IT-сотрудника Ubiquiti, и доступ администратора с root-правами ко всем учетным записям Ubiquiti AWS, включая все сегменты данных S3, журналы приложений и базы данных. 

Информатор не исключает, что хакеры также могли получить доступ к сведениям, необходимым для создания cookie-файлов технологии единого входа (single sign-on). Такой доступ мог позволить злоумышленникам удаленно пройти аутентификацию на бесчисленных облачных устройствах Ubiquiti по всему миру.

В январе производитель сетевых устройств сообщил о несанкционированном доступе к их системам информационных технологий, размещенным сторонним поставщиком облачных услуг. Хотя не было никаких доказательств, что злоумышленники получили доступ к пользовательским данным, компания не исключила, что хакеры получили имена пользователей, адреса электронной почты, криптографически зашифрованные пароли, адреса и номера телефонов. Ubiquiti рекомендовала пользователям изменить свои пароли и включить двухфакторную аутентификацию. 

Если злоумышленники получили доступ к сведениям, необходимым для создания cookie-файлов технологии единого входа, информатор KrebsOnSecurity советует пользователям удалить все профили, связанные с устройством, убедиться, что оно использует последнюю версию прошивки, а затем воссоздать профили с новыми учетными записями.