Ubiquiti vittima di un attacco hacker "catastrofico"? Poca trasparenza dalla società

Ubiquiti vittima di un attacco hacker "catastrofico"? Poca trasparenza dalla società

Nei mesi passati la società avrebbe subito un attacco hacker, ma è stata poco chiara nelle informazioni condivise con i clienti. L'analisi di Brian Krebs prova a fare luce sulla vicenda

di pubblicata il , alle 12:41 nel canale Sicurezza
 

Ubiquiti, società nota per la sua offerta di router e apparecchiature di rete di livello "prosumer", è stata accusata di aver nascosto un incidente di sicurezza "catastrofico" e ha rilasciato un comunicato in cui di fatto non viene smentita alcuna delle ipotesi a suo carico. Lo scorso 11 gennaio la società ha informato i propri clienti su una presunta violazione di sicurezza di lieve entità accaduta ad un "fornitore di servizi cloud di terze parti".

Il sempre attento Brian Krebs di KebsOnSecurity riferisce tramite il proprio blog che la violazione è stata di gran lunga più grave di quanto Ubiquiti abbia lasciato intendere. Secondo quanto riferisce Krebs, che avrebbe avuto contatti con una fonte molto vicina all'azienda, pare che l'incidente di sicurezza avrebbe coinvolto la stessa Ubiquiti, e che il team legale della società abbia impedito di dare segnalazione accurata e puntuale ai clienti sulle possibili conseguenze e rischi dell'accaduto.

Accesso non autorizzato ai server AWS di Ubiquiti

Secondo l'analisi condotta da Krebs, gli hacker hanno potuto avere pieno accesso ai server AWS di Ubiquiti, protetti a quanto pare da credenziali di amministratore che sono stati lasciati in un account LastPass, il che li ha messi nella condizione potenziale di avere accesso a qualsiasi rete allestita con apparecchiature Ubiquiti e configurata per poter essere controllata tramite il servizio cloud offerto dalla società.

Nelle scorse ore Ubiquiti ha diramato un nuovo comunicato:

"Come vi abbiamo informato l'11 gennaio, siamo stati vittima di un incidente di sicurezza informatica che ha comportato l'accesso non autorizzato ai nostri sistemi IT. Alla luce dell'analisi di Brian Krebs, vi è una rinnovata attenzione in questa vicenda e vorremmo fornire alla nostra comunità maggiori informazioni.

Nulla è cambiato rispetto alla nostra analisi sulle informazioni dei clienti e sulla sicurezza dei nostri prodotti rispetto alla notifica dell'11 gennaio. In risposta a questo incidente abbiamo chiesto l'aiuto di esperti esterni per condurre un'indagine approfondita e garantire che l'aggressore sia stato escluso dai nostri sistemi.

Gli esperti non hanno identificato alcuna prova che vi sia stato accesso alle informazioni dei clienti o che siano state prese di mira. L'aggressore, che ha condotto senza successo un tentativo di estorsione verso la società minacciando il rilascio di codice sorgente rubato e credenziali IT specifiche, non ha mai affermato di aver avuto accesso alle informazioni dei clienti. Questo, assieme ad altre prove, sono i motivi per cui riteniamo che le informazioni dei clienti non siano state l'obiettivo della violazione o in altro modo collegate ad essa.

A questo punto abbiamo prove solide che il responsabile dell'accaduto è un individuo con una conoscenza approfondita della nostra infrastruttura cloud. Dal momento che stiamo collaborando con le forze dell'ordine in un'indagine in corso, non possiamo commentare ulteriormente.

Ciò detto, vi invitiamo per precauzione a cambiare la password se già non l'avete fatto, anche su qualsiasi altro servizio in cui utilizzate la stessa coppia di nome utente e password. Suggeriamo di abilitare l'autenticazione a due fattori sugli account Ubiquiti se già non è stato fatto"

La dichiarazione sembra quindi in parte ritrattare quanto affermato in precedenza, e in particolar modo ora Ubiquiti ammette l'accesso ai propri sistemi IT. Krebs tuttavia sottolinea, sulla base delle informazioni recuperate dalla sua fonte anonima, che la società non conserva i registri di accesso ai propri server, motivo per cui non può di fatto avere alcuna prova di cosa sia accaduto. Secondo Krebs la risposta di Ubiquiti è tardiva e insufficiente, e la situazione nel suo complesso non è stata gestita adeguatamente: la società avrebbe dovuto disporre immediatamente il blocco degli account con un reset della password forzato.

20 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Paganetor01 Aprile 2021, 12:44 #1
ho letto che anche Boggi (abbigliamento) ha subito un attacco simile.

Bisognerebbe obbligare le aziende a denunciare simili eventi se coinvolgono informazioni sensibili di dipendenti o utenti, non è possibile che si venga a sapere solo a cose fatte (e magari con la mia utenza sottratta sono riusciti a fare qualcosa senza che me ne accorgessi)
Axios200601 Aprile 2021, 12:48 #2
il team legale della società abbia impedito di dare segnalazione accurata e puntuale ai clienti sulle possibili conseguenze e rischi dell'accaduto.


92 minuti di applausi. Simili societa' vanno premiate con il fallimento. Senza se e senza ma.

Comunque, si attende l'ondata buonista del "poverini, tutti possono sbagliare"...
\_Davide_/01 Aprile 2021, 12:54 #3
Originariamente inviato da: Paganetor
Bisognerebbe obbligare le aziende a denunciare simili eventi se coinvolgono informazioni sensibili di dipendenti o utenti, non è possibile che si venga a sapere solo a cose fatte (e magari con la mia utenza sottratta sono riusciti a fare qualcosa senza che me ne accorgessi)


In Europa è tassativamente obbligatorio, nel resto del mondo è condizionale...
virtualdj01 Aprile 2021, 13:25 #4
Ma come, non era la società consigliata da tutti per i suoi prodotti fantastici?
SpyroTSK01 Aprile 2021, 14:06 #5
Originariamente inviato da: virtualdj
Ma come, non era la società consigliata da tutti per i suoi prodotti fantastici?


L'hardware è ottimo, il problema secondo me (non solo di ubiquiti) è che hanno questa mania di semplificare l'utente nella configurazione (tagliando parti avanzate molto utili) e fare tutto in cloud, cosa secondo me assurda e inutile oltre che rischiosa per la sicurezza.

L'unico modo di avere cose configurabili "alla vecchia maniera" è prendere i dispositivi fascia Pro, il problema è che spesso costano 2 volte tanto.
io78bis01 Aprile 2021, 15:28 #6
Originariamente inviato da: SpyroTSK
L'hardware è ottimo, il problema secondo me (non solo di ubiquiti) è che hanno questa mania di semplificare l'utente nella configurazione (tagliando parti avanzate molto utili) e fare tutto in cloud, cosa secondo me assurda e inutile oltre che rischiosa per la sicurezza.

L'unico modo di avere cose configurabili "alla vecchia maniera" è prendere i dispositivi fascia Pro, il problema è che spesso costano 2 volte tanto.


Il problema non è il Cloud se configurato nel modo corretto e da persone capaci. In questo caso poi se è vero che la causa è il salvataggio delle password Admin su un servizio di Password Manager il problema è l'incompetenza del SysAdmin
giuliop01 Aprile 2021, 15:37 #7
Originariamente inviato da: virtualdj
Ma come, non era la società consigliata da tutti per i suoi prodotti fantastici?


Già, perché un attacco ai loro server AWS abbassa la qualità dei loro prodotti
Notturnia01 Aprile 2021, 16:08 #8
il DPCM obbliga in Italia/Europa a comunicare qualsiasi aggressione al sistema informatico che coinvolga dati sensibili dei clienti..
Tasslehoff01 Aprile 2021, 16:38 #9
Originariamente inviato da: SpyroTSK
L'hardware è ottimo, il problema secondo me (non solo di ubiquiti) è che hanno questa mania di semplificare l'utente nella configurazione (tagliando parti avanzate molto utili) e fare tutto in cloud, cosa secondo me assurda e inutile oltre che rischiosa per la sicurezza.

L'unico modo di avere cose configurabili "alla vecchia maniera" è prendere i dispositivi fascia Pro, il problema è che spesso costano 2 volte tanto.
No, non c'è alcuna differenza tra fascia "pro" e le altre, tutto viene controllato attraverso l'unifi controller (che è una dashboard che ben pochi produttori possono eguagliare).

L'unifi controller (che è un normalissimo sw che può essere installato su qualsiasi OS, anche su arm, infatti su Raspberry PI e simili va che è un piacere) da qualche versione in qua permette di accedere con account "cloud" Unifi, ma non è affatto obbligatorio e si può cmq accedere con utente locale che viene salvato nel database mongodb usato dalla console unifi in locale.

Da una parte Ubiquiti ha certamente incentivato gli utenti a usare la login "cloud" relegando in un angolino la creazione di un utente locale durante il setup (del resto è quello che fanno tutti, fate caso al setup di Windows 10 tanto per fare un esempio eclatante), dall'altra però ha inciso molto la pigrizia di tanti utenti che anzichè cercare se fosse possibile creare un account locale si è limitata a seguire il classico wizard "checcivuole?"
miky_b85401 Aprile 2021, 19:02 #10
Io posseggo apparati ubiquiti con il mio bel serverino dentro casa, accedibile solo sotto vpn... altro che cloud. prossimo step un NAS degno di essere chiamato tale.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^