Както писахме още през януари тази година, Ubiquiti претърпяха пробив в сигурността, при която бяха откраднати личните данни на техните клиенти. Компанията така и не сподели детайли какво точно е открадното, но призова всички техни потребители да сменят паролите си за достъп и да активират двуфакторно удостоверяване.

Ето предупреждението от Ubiquiti за пробива в сигурността:

Наскоро разбрахме за неоторизиран достъп до някои от нашите системи за информационни технологии, хоствани от облачен доставчик от трета страна. Нямаме индикации, че има неразрешена дейност по отношение на акаунт на който и да е потребител. Понастоящем не сме запознати с доказателства за достъп до бази данни, които хостват потребителски данни, но не можем да сме сигурни, че потребителските данни не са били изложени. Тези данни могат да включват вашето име, имейл адрес и еднопосочна криптирана парола за вашия акаунт (в технически план паролите се хешират и “посоляват”). Данните могат да включват и вашия адрес и телефонен номер, ако сте ни предоставили това. 

Като предпазна мярка ви препоръчваме да промените паролата си. Препоръчваме ви също да промените паролата си на всеки уебсайт, където използвате същия потребителски идентификатор или парола. И накрая, препоръчваме да активирате двуфакторно удостоверяване на вашите акаунти в Ubiquiti, ако още не сте го направили. 

Извиняваме се и дълбоко съжаляваме за евентуално причиненото неудобство. Ние приемаме сигурността на вашата информация много сериозно и оценяваме вашето продължаващо доверие. 

Благодаря, Екип на Ubiquiti

Обвинителен акт от Министерството на правосъдието предполага, че хакването на Ubiquiti, съобщено през януари е дело на някой, който тогава е бил служител на компанията. Министерството на правосъдието твърди, че 36-годишният Николас Шарп е бил арестуван в сряда по обвинения, че е използвал служителски идентификационните данни, за да изтегля поверителна информация и е изпратил анонимни искания до компанията, за която е работил, преструвайки се на хакер в опит да получи откуп от 50 биткойна.

В обвинителния акт не се посочва конкретно името на Ubiquiti, а се позовава само на „Компания-1“. Въпреки това, всички детайли съвпадат. През януари Ubiquiti изпрати имейл до потребители, в който каза, че неупълномощена страна е получила достъп до нейните „системи за информационни технологии, хоствани от облачен доставчик“. През март някой, който твърди, че е подател на сигнали, представи инцидента като „катастрофален“, като твърдеше, че компанията не може да каже пълния мащаб на атаката, защото не поддържа регистрационни файлове и че нападателят е имал достъп до Amazon Web Services сървъри на Ubiquiti ( AWS.

Министерството на правосъдието твърди, че Шарп е получил достъп до акаунтите на Amazon Web Services и Github на компанията, след което е кандидатствал за работа в друга компания през декември 2020 г. В обвинителния акт се казва, че друг служител е открил нарушението дни, след като Шарп изтеглил гигабайти поверителни данни и приложи политики на AWS за ограничаване на лог файловете. Твърди се, че Шарп е бил назначен към екипа за реагиране, предназначен да оцени инцидента, а Министерството на правосъдието казва, че е използвал тази позиция, за да се опита да избегне подозрение.

Естествено всичко е направено за пари. Малко след пробива в сигурността Шарп изпраща искане за откуп от 50 Биткойна, за да не оповестява инцидента или откраднатите данни.

Интересното в разследването е начина, по който се е стигнало до неговото залавяне. Доказателството, че именно той е извършителят, е неговия домашен IP адрес. Министерството на правосъдието казва, че е успяло да проследи Шарп поради един малък технически бъг – използвал е SurfShark VPN, за да маскира самоличността си, докато взема данни и изпраща имейли, но в един кратък момент истинският му IP е идентифициран и регистриран като свързван към GitHub на компанията. Според Министерството на правосъдието това се е случило, когато домашният интернет на Шарп спира и след това се свързва отново.

В обвинението се твърди, че Шарп е започнал атаката, използвайки пълномощията, които са му били дадени, за да върши работата си. През март Ubiquiti се придържа твърдо към изявлението си, че нападателите нямат достъп до клиентски данни, което изглежда не противоречи на информацията, разкрита днес в обвинителния акт.