Incidente di sicurezza per Ubiquiti: definito catastrofico da un dipendente dell'azienda

Il termine whistleblower è sempre più utilizzato anche in Europa per riferirsi al dipendente che segnala alle autorità situazioni sospette verificatesi all’interno dell’azienda in cui lavora.
Brian Krebs, giornalista molto noto a livello internazionale, ha raccolto una serie di segnalazioni provenienti da un collaboratore di Ubiquiti Networks, azienda specializzata nella produzione di apparati di rete, telecamere IP, telefoni IP e altri dispositivi ampiamente utilizzati in ambito business.

Lo scorso 11 gennaio Ubiquiti informò i suoi clienti via email sostenendo che un soggetto non identificato aveva ottenuto accesso non autorizzato a una piattaforma cloud utilizzata dall’azienda.
Il messaggio non specificava il numero degli account potenzialmente compromessi e si limitava a far presente che alcune informazioni personali come nomi, indirizzi email e password in forma codificata (hash), indirizzi postali e numeri di telefono dei clienti erano state verosimilmente sottratte.
Agli utenti è stato chiesto di modificare le loro password e attivare contestualmente la modalità di autenticazione a due fattori.

Il whistleblower ha fatto presente a Krebs che il problema di sicurezza avrebbe interessato la piattaforma di Ubiquiti ospitata su Amazon AWS e che l’incidente sarebbe stato ampiamente ridimensionato dall’azienda con il preciso intento di proteggerne il valore e le quotazioni di borsa.

Il dipendente di Ubiquiti, la cui identità viene mantenuta segreta, avrebbe dichiarato: “gli aggressori sono stati in grado di ottenere le chiavi crittografiche usate nei cookie per i meccanismi di single sign-on e per l’accesso remoto, il contenuto dei sorgenti e le chiavi di firma“. L’aggressione subita sarebbe stata quindi “catastrofica” e avrebbe potenzialmente interessato l’intera base di utenti e tutti i dispositivi collegati alla rete.

L’aggressore (o gli aggressori) avrebbero avuto accesso a credenziali amministrative che sono state precedentemente memorizzate nell’account LastPass di un dipendente Ubiquiti, a tutti gli account AWS di Ubiquiti, data buckets S3 compresi, a tutti i log delle applicazioni, a tutti i database, tutte le credenziali del database utenti e al materiale necessario per falsificare i cookie SSO (single sign-on).

Un ventaglio di informazioni che avrebbe potuto consentire agli aggressori di autenticarsi da remoto a innumerevoli dispositivi Ubiquiti basati sul cloud in tutto il mondo. Secondo la stessa aziende più di 85 milioni di dispositivi Ubiquiti svolgono un ruolo chiave nelle infrastrutture di rete in oltre 200 Paesi su scala globale.

Gli estorsori avrebbero richiesto 50 Bitcoin a Ubiquiti (circa 2,38 milioni di euro) per mantenere segreti i dati sottratti alla società di San Jose (USA) ma sino ad oggi si sarebbe preferito non scendere ad alcun accordo.

Se si possedessero dispositivi Ubiquiti e le corrispondenti credenziali di accesso non fossero state ancora modificate dallo scorso 11 gennaio, sarebbe opportuno provvedere quanto prima. Sarebbe altresì utile cancellare qualsiasi profilo su questi dispositivi, assicurarsi che siano aggiornati all’ultimo firmware quindi creare nuovi profili con credenziali nuove e mai utilizzate altrove. Utile anche disattivare qualsiasi accesso remoto eventualmente abilitato sugli stessi dispositivi.