Datenpanne angeblich vertuscht

Ubiquiti laut Whistleblower von "katastrophalem" Vorfall betroffen

Uhr
von Daniel Schurter, watson.ch

Der Netzwerkausrüster Ubiquiti wird offenbar erpresst und nun durch einen Whistleblower beschuldigt, eine möglicherweise massive Datenpanne zu vertuschen. Das sind die wichtigsten Fragen und Antworten.

(Source: Screenshot ui.com)
(Source: Screenshot ui.com)

Wie schlimm war ein Zwischenfall wirklich, über den der US-Hersteller Ubiquiti am 11. Januar 2021 seine Kunden per E-Mail informierte? "The Verge" hat in der Nacht auf Donnerstag die neusten beunruhigenden Erkenntnisse zusammengefasst. Ubiquiti werde von einem Whistleblower beschuldigt, einen "katastrophalen" Sicherheitsverstoss zu vertuschen – und nach 24 Stunden des Schweigens habe das Unternehmen nun eine Stellungnahme veröffentlicht, die keine der Behauptungen des Whistleblowers bestreiten würden.

Warum ist das wichtig?

Ubiquiti habe einen hervorragenden Ruf, hält "The Verge" fest. Die Router und andere Netzwerkgeräte, die auch in der Schweiz verkauft werden, gehörten zur Prosumer-Klasse. Der Firmenname sei zum Synonym für hohe Sicherheitsstandards und benutzerfreundliche Verwaltung geworden.

Der US-Hersteller verspricht mit seiner UniFi-Produktereihe eine "nahtlose Netzwerk-Integration". (Source: Screenshot ui.com)

Ursprünglich hatte Ubiquiti seine Kunden am 11. Januar über eine angeblich geringfügige Sicherheitslücke bei einem "Drittanbieter-Cloud-Provider" informiert, doch die renommierte Cybersecurity-Website "KrebsOnSecurity" machte am 30. März publik, dass die Sicherheitslücke in Wirklichkeit weitaus schlimmer war, als Ubiquiti zugeben wollte.

Ein Whistleblower des Unternehmens, der mit Brian Krebs sprach, behauptet, dass Ubiquiti selbst gehackt wurde und dass die Rechtsabteilung des Unternehmens Bemühungen verhinderte, die Kunden genau über die Gefahren zu informieren.

Wie konnte das passieren?

Es lohnt sich laut "The Verge", den Bericht des renommierten IT-Sicherheitsexperten Krebs zu lesen, um die vollständigen Anschuldigungen zu sehen. Die Zusammenfassung sei, dass die Hacker vollen Zugriff auf die AWS-Server des Unternehmens erlangt hätten. Dies, weil Ubiquiti angeblich Root-Administrator-Logins in einem LastPass-Konto hinterliess.

Die Angreifer hätten über den Passwort-Manager auf alle Ubiquiti-Netzwerkgeräte zugreifen können, die die Kunden zur Steuerung über den Cloud-Service des Unternehmens eingerichtet hatten. Und dieser Onlinedienst sei offenbar für einige der neuen Ubiquiti-Hardware erforderlich.

Was sagt Ubiquiti?

Als Ubiquiti diese Woche endlich eine Erklärung abgegeben habe, sei diese nicht gerade beruhigend ausgefallen, kommentiert "The Verge" – sie sei "völlig unzureichend".

Das Unternehmen habe seinen Standpunkt wiederholt, dass es keine Beweise dafür habe, dass auf Benutzerdaten zugegriffen oder diese gestohlen worden seien.

Wie Krebs betont, habe der Whistleblower explizit erklärt, dass das Unternehmen keine Protokolle darüber führe, wer auf die gehackten Server zugegriffen habe und wer nicht. Ergo: Es könne gar keine Beweise haben.

Das Statement von Ubiquiti bestätige auch, dass der Hacker versucht habe, das Unternehmen um Geld zu erpressen, gehe aber nicht auf die Vorwürfe einer Vertuschung ein.

Nachfolgend geben wir die Ubiquiti-Stellungnahme im Orginal-Wortlaut wieder, die die US-Firma nach dem Enthüllungsbericht von Krebs veröffentlicht hat:

"As we informed you on January 11, we were the victim of a cybersecurity incident that involved unauthorized access to our IT systems. Given the reporting by Brian Krebs, there is newfound interest and attention in this matter, and we would like to provide our community with more information.

At the outset, please note that nothing has changed with respect to our analysis of customer data and the security of our products since our notification on January 11. In response to this incident, we leveraged external incident response experts to conduct a thorough investigation to ensure the attacker was locked out of our systems.

These experts identified no evidence that customer information was accessed, or even targeted. The attacker, who unsuccessfully attempted to extort the company by threatening to release stolen source code and specific IT credentials, never claimed to have accessed any customer information. This, along with other evidence, is why we believe that customer data was not the target of, or otherwise accessed in connection with, the incident.

At this point, we have well-developed evidence that the perpetrator is an individual with intricate knowledge of our cloud infrastructure. As we are cooperating with law enforcement in an ongoing investigation, we cannot comment further.

All this said, as a precaution, we still encourage you to change your password if you have not already done so, including on any website where you use the same user ID or password. We also encourage you to enable two-factor authentication on your Ubiquiti accounts if you have not already done so."

"Watson" hat Ubiquiti kontaktiert und um eine Stellungnahme ersucht zu den von "The Verge" erhobenen Vorwürfen. Eine Antwort steht aus.

Was können Ubiquiti-Kunden tun?

Die Käufer, respektive Nutzer von Ubiquiti-Hardware sind vom Unternehmen bereits aufgefordert worden, das Passwort für den Online-Zugang zu ändern. Zudem sollen sie die Zwei-Faktor-Authentifizierung aktivieren, um zu verhindern, dass sich nicht-autorisierte Dritte Zugriff verschaffen können.

Abgesehen davon können die Kunden nur abwarten und verfolgen, ob weitere Informationen zu dem Vorfall an die Öffentlichkeit dringen. Sollten die kriminellen Angreifer Kundendaten weiterverkaufen oder im Internet veröffentlichen, dürfte dies früher oder später bekannt werden.

Dieser Beitrag ist zuerst auf watson.ch erschienen.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den wöchentlichen Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
DPF8_212703