De aanvaller die binnen wist te dringen bij de cloudomgeving van Ubuquiti, zou nooit gekeken hebben naar klantgegevens. Er zou alleen een poging zijn geweest om Ubiquiti af te persen met gestolen broncode.
Dit schrijft Ubiquiti in een reactie op het artikel dat securityjournalist Brian Krebs schreef. Krebs heeft gesproken met een anonieme beveiligingsexpert die Ubiquiti had geholpen met onderzoek naar de hack. Volgens de expert was de hack veel groter dan Ubiquiti deed vermoeden.
‘Geen indicatie van toegang tot klantgegevens’
De anonieme expert vond dat Ubiquiti niet eerlijk is geweest in de aanvankelijke melding over de hack. In die aankondiging vertelde Ubiquiti dat er een inbreuk is geweest bij een externe cloudprovider, maar dat er geen indicatie is dat er ook daadwerkelijk klantgegevens zijn gestolen. Volgens de expert is dit echter niet het volledige verhaal, want het was Ubiquiti zelf die verantwoordelijk was voor de beveiliging van zijn diensten bij de externe partij, in dit geval AWS.
Verder klopt het dat de aanvaller alleen heeft geclaimd toegang te hebben gehad tot de broncode van Ubiquiti-software. Ubiquiti zegt dat klantgegevens niet het doelwit van de aanvaller waren en dat er geen bewijs is dat de aanvaller die gegevens heeft ingezien. De aanvaller heeft zelf ook niet geclaimd toegang tot klantgegevens te hebben.
De klokkenluider benadrukte echter tegen Krebs dat Ubiquiti niet deed aan toegangslogging op zijn databases. Dit betekent dat Ubiquiti simpelweg niet de informatie heeft om te bewijzen dat de aanvaller al dan niet toegang tot deze gegevens had. Volgens de beveiligingsexpert had de aanvaller deze gegevens theoretisch wel kunnen bereiken.
Enkel een advies om wachtwoorden te veranderen
Omdat de officiële houding van Ubiquiti nog steeds is dat er geen indicatie is van toegang tot klantgegevens, houdt het bedrijf het bij een advies voor gebruikers om hun wachtwoorden te veranderen. De gebruikersprofielen worden echter niet gereset, wat de beveiligingsexpert graag zou zien.
Volgens de klokkenluider wist de aanvaller toegang te krijgen tot de LastPass-account van een Ubiquiti-werknemer. Daarmee had hij brontoegang tot alle AWS-accounts van Ubiquiti. Hiermee zou de aanvaller naast de code van Ubiquiti-software, ook in staat zijn geweest om de klantengegevens van gebruikers van de clouddiensten in te zien en zelfs toegang te krijgen tot hun IoT-apparaten.
Tip: Ubiquiti verdoezelde omvang datalek voor klanten, wat is er gebeurd?
16 minuten geleden
