Великий постачальник хмарних IoT-пристроїв Ubiquiti в січні 2021 року повідомив про злам стороннього постачальника хмарних послуг, в результаті якого були викрадені облікові дані клієнтів. Однак джерело ресурсу KrebsOnSecurity стверджує, що Ubiquiti сильно применшити значення інциденту з метою мінімізувати удар по ціні своїх акцій, а заяву стороннього постачальника хмарних послуг було сфабриковано.
Ubiquiti Inc. – американська технологічна компанія, що виробляє та продає бездротові засоби передачі даних та дротову продукцію для підприємств та будинків під різними торговими марками. Товари компанії широко представленні в Україні.
“Це було набагато гірше, ніж повідомлялося, і про це промовчали. Злам був серйозним, дані клієнтів виявилися під загрозою, доступ до пристроїв клієнтів, розгорнутим в корпораціях і будинках у всьому світі, був під загрозою”, – повідомив фахівець, який допомагав Ubiquiti відреагувати на інцидент.
Як повідомлялося в повідомленні від 11 січня, компанії стало відомо про несанкціонований доступ до деяких IT-систем, розміщених третьою стороною хмарних послуг, хоча назва фірми не вказувалося. За словами експерта, хакери отримали повний доступ з правами читання та запису баз даних Ubiquiti в сервісі Amazon Web Services (AWS), який, імовірно, був тією самою третьою стороною.
Насправді, за твердженням експерта, зловмисники отримали адміністративний доступ до серверів Ubiquiti в хмарної службі Amazon, яка забезпечує безпеку базового серверного обладнання та програмного забезпечення. Зловмисники отримали доступ до привілейованих облікових даних, які раніше зберігалися в обліковому записі LastPass IT-співробітника Ubiquiti, і отримали доступ адміністратора з правами суперкористувача до всіх облікових записів Ubiquiti AWS, включаючи всі сегменти даних S3, логи додатків, бази даних, облікові дані бази даних користувачів і відомості, необхідні для створення cookie-файлів технології єдиного входу (Single sign-on).
Такий доступ міг дозволити зловмисникам віддалено авторизуватися на незліченних хмарних пристроях Ubiquiti у всьому світі. Як зазначив фахівець, в кінці грудня 2020 року служба безпеки Ubiquiti отримала повідомлення про встановлення декількох неврахованих віртуальних машин на базі Linux від імені користувача з правами адміністратора. Потім експерти виявили бекдор, впроваджений зловмисником в систему.
Після видалення бекдора в січні 2021 року зловмисники зажадали 50 біткоїнів (близько $ 2,8 млн) в обмін на обіцянку зберігати мовчання про злам. Хакери також представили свідоцтва крадіжки вихідного коду Ubiquiti і пообіцяли розкрити місцезнаходження іншого бекдора, якщо вимога про викуп буде виконана.
За словами джерела, Ubiquiti не виходила на зв’язок з хакерами, і в кінцевому підсумку група реагування на інциденти знайшла другий бекдор. Компанія змінила облікові дані для всіх співробітників, а потім почала попереджати клієнтів про необхідність скинути паролі. Експерт вважає, що насправді компанії слід було анулювати всі облікові дані своїх клієнтів і примусово виконати скидання паролів.
Радимо звернути увагу на поради, про які писав Cybercalm, а саме:
Як відновити видалені публікації чи історії в Instagram? ІНСТРУКЦІЯ
Чому у Вас є як мінімум три мільярди причин змінити пароль облікового запису?
Нагадаємо, що майже всі найпопулярніші програми Android використовують компоненти з відкритим вихідним кодом, але багато з цих компонентів застаріли і мають як мінімум одну небезпечну уразливість. Через це вони можуть розкривати персональні дані, включаючи URL-адреси, IP-адреси і адреси електронної пошти, а також більш конфіденційну інформацію, наприклад, OAuth-токени, асиметричні закриті ключі, ключі AWS і web-токени JSON.
Окрім цього, фахівці компанії AdaptiveMobile Security повідомили подробиці про небезпечну проблему в технології поділу мережі 5G. Уразливість потенційно може надати зловмисникові доступ до даних і дозволити здійснювати атаки типу “відмови в обслуговуванні” на різні сегменти мережі 5G оператора мобільного зв’язку.
Також дослідники безпеки виявили в Google Play і Apple App Store сотні так званих fleeceware-додатків, які принесли своїм розробникам сотні мільйонів доларів.
До речі, в даркнеті виявили оголошення про продаж підроблених сертифікатів про вакцинацію і довідок про негативний тест на Covid-19. Крім того, число рекламних оголошень про продаж вакцин від коронавірусу збільшилося на 300% за останні три місяці.
Двох зловмисників з Кривого Рогу викрили у привласненні 600 тисяч гривень шляхом перевипуску сім-карт. Отримавши мобільний номер, зловмисники встановлювали дані про особу, яка раніше його використовувала. Для цього вони авторизувалися у різних мобільних додатках, зокрема поштових служб, державних, комунальних та медичних установ, використовуючи функцію відновлення паролю.