Wi-Fiキット販売業者のUbiquitiは、2021年1月にクラウドホストシステムの一部にアクセスした攻撃者は、当初危険にさらされる恐れがあると警告していた顧客データではなく、ソースコードと従業員のログイン情報を盗んだ可能性があると示唆した。
Ubiquitiのクラウドサーバーが侵害されたというニュースは、2021年1月11日に同社が顧客に、このサポートフォーラムの投稿にあるような内容のメールを送信したことで明らかになりました。そのメールには、「最近、サードパーティのクラウドプロバイダーがホストする当社の一部の情報技術システムへの不正アクセスを確認しました」と書かれていました。
この発表では、「いかなるユーザーのアカウントに関しても、不正なアクティビティがあったという兆候はない」と続けているが、記録にアクセスされた場合、ハッシュ化およびソルト化されたパスワード、電子メールアドレス、さらには実際の住所や電話番号が危険にさらされる可能性があるため、顧客にパスワードを変更することを推奨している。
しかし、今週水曜日の最新情報では、外部の専門家による調査で「顧客情報がアクセスされたり、標的にされたりしたという証拠は確認されなかった」と述べられている。
重要なのは、このアップデートで、誰かが「盗んだソースコードと特定のIT認証情報を公開すると脅迫して、会社を恐喝しようとしたが失敗した」ことも明らかになったことです。このアップデートは、この恐喝の試みが空想的なものだったことを示唆するものではありません。
Ubiquitiは、外部専門家が顧客データに不正アクセスがないと判断した時期について言及していません。つまり、同社は、自社の中核IPが漏洩したことを認識しながらもそれを公表しなかった一方で、顧客データが安全であることも認識しながらもそれを公表しなかったという、興味深い立場に立たされていると言えるでしょう。
このアップデートには、次の一文にも恐ろしい事実が含まれています。「1 月 11 日の通知以降、当社の顧客データの分析および製品のセキュリティに関しては何も変更されていませんのでご了承ください。」
しかし、1月11日の通知では「当社製品のセキュリティ」については何も言及されていない。
確かに、Wi-Fiルーターにテレメトリ機能を持たせて自宅に電話させました、とUbiquitiは言います。それがどうしたというのでしょう?
続きを読む
水曜日の最新情報は、Ubiquiti 社が事件について真実を全て語っていないと主張する内部告発者から欧州データ保護監督局への手紙を見たとKrebs On Security が報じた 2 日後に公開された。
クレブス氏は、手紙ではユビキティへの攻撃が「報告されていたよりも壊滅的にひどい」と表現されていたと述べた。
書簡では「侵害は大規模で、顧客データが危険にさらされ、世界中の企業や家庭に配備されている顧客のデバイスへのアクセスが危険にさらされた」と主張し、さらにユビキティの法務チームが「顧客を断固として保護するための努力を黙らせ、却下した」と付け加えた。
内部告発者はまた、UbiquitiのAmazonホスト型サーバーに侵入できた者は、顧客のシングルサインオンCookieやリモートデバイスアクセスのための暗号鍵、内部ソースコード、署名鍵などを盗むことができたと主張した。これは、Wi-Fiボックスメーカーが1月に公表した情報よりもはるかに広範囲に及ぶ。侵入者はUbiquitiのIT担当者の特権認証情報を入手し、同社のAWSシステムへのルートアクセスを取得し、クラウドホスト型ストレージとデータベースを自由に操作できた可能性があるとされている。
どうやらサーバーにはバックドアも隠されていたようで、Ubiquiti が今週認めたように、侵入について口外しない代わりに身代金を要求された。
Ubiquiti 自身も現在示唆しているように、もし Ubiquiti スタッフの認証情報が入手されていたとしたら、内部告発者の手紙に書かれているように、攻撃者は「世界中の企業や家庭に配備されている顧客のデバイスへのアクセス」を簡単に取得できた可能性がある。
適切な認証情報を使用することで、顧客データが盗難されるリスクも高まります。Ubiquitiは今週、攻撃者がそのようなデータに「アクセスしたわけでも、標的にしたわけでもない」と主張しましたが、内部告発者は、無線キットメーカーが十分なログを保管していなかったため、その事実を確信できなかったと主張しました。
ユビキティは水曜日の投稿で、「現時点では、犯人は当社のクラウドインフラに関する詳細な知識を持つ人物であるという確固たる証拠がある」と述べているが、調査が継続中のため、これ以上は言えないとしている。
要約すると、Ubiquiti 製品のソースコードやその他の内部情報が流出した可能性があり、サーバーがルート化された可能性があり、責任者は同社の現従業員または元従業員である可能性があります... ただし、いくつかの散発的な発言を除けば、Ubiquiti は実際には問題ではない個人のプライバシーの問題に焦点を当てることを選択しました。
そして、これらすべてが起こったのは、悪意のある人物が何年にもわたり SolarWinds のインフラストラクチャ内でその存在を隠し、同社の製品に悪質な情報を提供していたことが分かっている時期でした。
このアップデートの最後には、パスワードの更新と二要素認証の有効化を改めて呼びかけています。The Registerは、読者の中にはWi-Fiプロバイダーの更新も検討する人もいるのではないかと推測しています。®
追記: Ubiquitiにとって良い週ではありませんでした。同社はUniFi機器のWebベースのユーザーインターフェースに追加した自社広告を削除すると約束したばかりです。
