内部告発者によると、ルーターメーカーのUbiquitiは、顧客の機密データを漏洩させた1月の「壊滅的な」ハッキングの重大さを大幅に軽視しているという。
内部告発者は、2ヶ月にわたるハッキングへの対応に尽力したUbiquitiのセキュリティ専門家です。匿名の従業員は、Ubiquitiの内部告発ホットラインと欧州データ保護当局に懸念を訴えましたが、聞き入れてもらえなかったため、 Krebs on Securityに連絡しました。
ルーターメーカーのUbiquitiは1月11日に発表した公告の中で、「サードパーティのクラウドプロバイダーがホストする当社の一部の情報技術システムへの不正アクセスを認識しました」と述べています。同社はさらに、「現在、ユーザーデータをホストするデータベースへのアクセスの証拠は把握していませんが、ユーザーデータが漏洩していないとは断言できません」と述べています。
書簡には、Ubiquitiは「ユーザーのアカウントに関して不正な活動があったという兆候は見受けられない」と記されていた。しかし、セキュリティ専門家によると、この記述は意図的に誤解を招くものであり、ハッキングの深刻さを十分に反映していないという。
攻撃者は、当初の対応で非難された第三者であるAmazon Web Services(AWS)にあるUbiquitiのデータベースへの完全な読み取り/書き込みアクセス権を取得したとされている。
内部告発者は、ハッキングに関するユビキティ社の1月の声明は「軽視されており、サードパーティのクラウドベンダーが危険にさらされており、ユビキティは攻撃の標的ではなく、単にその犠牲者であったと示唆するように意図的に書かれた」と述べている。
「報告されていたよりも事態は壊滅的で、(ユビキティの)法務部は顧客を断固として保護するための努力を封じ込め、却下しました」と、匿名の従業員は欧州データ保護監督局宛ての書簡に記した。「情報漏洩は大規模で、顧客データが危険にさらされ、世界中の企業や家庭に設置されている顧客デバイスへのアクセスが危険にさらされました。」
情報提供者によると、攻撃者はUbiquiti従業員のLastPassアカウントに保存されていた盗まれた認証情報を利用し、AWSにあるUbiquitiのサーバーにアクセスしたとされています。その後、攻撃者は「すべてのS3データバケット、すべてのアプリケーションログ、すべてのデータベース、すべてのユーザーデータベース認証情報、そしてシングルサインオン(SSO)Cookieの偽造に必要なシークレットを含む、すべてのUbiquiti AWSアカウントへのルート管理者アクセス権」を取得しました。
侵入者が獲得したアクセスレベルにより、攻撃者はUbiquitiのクラウドベースのデバイスをリモートで認証できたはずです。
今年初めに起きたネットワーク会社ユビキティのハッキングは、報道されていたよりもはるかにひどいものだったとされている。
ユビキティのセキュリティチームが侵入者が使用していたバックドアを1つ特定した後、ハッカーたちはユビキティに連絡を取り、ハッキング行為を口止めする条件として50ビットコイン(280万ドル)の身代金を要求した。ユビキティはこれに応じなかった。
同社は最終的に2番目のバックドアを発見し、従業員の認証情報を保護するプロセスを開始しました。
同社は1月11日の声明で顧客にパスワードの変更を求めた。しかし、内部告発者は「侵入者が顧客のIoTシステムへのリモートアクセスに必要な認証情報を既に入手していたため、Ubiquitiは顧客の認証情報を全て直ちに無効化し、全てのアカウントを強制的にリセットすべきだった」と考えている。
内部告発者は、顧客データの漏洩の証拠がないという同社の主張は極めて誤解を招くものだと述べている。ユビキティはデータログを保存していないため、ハッカーが何にアクセスしたかは知る由もない。
「Ubiquitiはログ記録を怠っていたため(データベースへのアクセスログが記録されていなかった)、アクセス内容を証明することも反証することもできませんでした。しかし、攻撃者はデータベースの認証情報を標的とし、当該データベースにネットワーク接続可能なLinuxインスタンスを作成しました」と情報提供者は述べています。「法務部門は、すべての顧客認証情報のローテーションを強制し、該当期間内にデバイスのアクセス権限変更を元に戻すことを求める度重なる要求を無視しました。」
同氏によると、当初同社が非難した第三者はAmazon Web Services(AWS)だったという。Amazonのサーバーは「基盤となるサーバーのハードウェアとソフトウェアを保護しているが、クラウドテナント(クライアント)にはそこに保存されているデータへのアクセスを保護することを要求している」。
KrebsonSecurity の報告後、Ubiquiti は内部告発者の主張を否定せず、当初第三者を非難した内容を撤回した 2 番目の声明を発表しました。
「現時点では、犯人が当社のクラウドインフラに関する詳細な知識を持つ人物であるという確固たる証拠を保有しています」と声明は述べている。「現在、捜査当局の捜査に協力しているため、これ以上のコメントは控えさせていただきます。」
Ubiquitiは8,500万台以上のデバイスを出荷しています。Mac、iPad、その他のAppleデバイスの無数のユーザーがUbiquiti製のネットワーク製品に接続しています。Ubiquitiのルーターやその他のデバイスをご利用の方は、Ubiquitiアカウントのパスワードを直ちにリセットし、ネットワーク製品を最新のファームウェアに更新してください。
HomePodでAppleの最新ニュースをいつでもチェック。「Hey Siri、AppleInsiderを再生して」と話しかけると、最新のAppleInsider Podcastが聴けます。または、HomePod miniに「AppleInsider Daily」と話しかけると、ニュースチームからの速報がすぐに聞こえてきます。Apple関連のホームオートメーションに興味があるなら、「Hey Siri、HomeKit Insiderを再生して」と話しかければ、最新の専門ポッドキャストがすぐに聴けます。
