Hack Ubiquiti mogelijk erger dan eerst gedacht
IoT-provider Ubiquiti lijkt de ernst van een lek in januari stevig te hebben gebagatelliseerd. Het zou niet gaan om een klein beveiligingsincident, maar eentje dat mogelijk ‘catastrofale’ gevolgen had.
In januari mailde Ubiquiti naar zijn klanten met de melding dat er door een veiligheidslek bij een externe cloudprovider iemand toegang had gekregen tot de eigen IT-systemen. Het bedrijf gaf klanten daarbij de raad om hun wachtwoord te veranderen en over te stappen op tweestaps-verificatie, als ze dat nog niet hadden ingesteld. Die hack zou echter een pak ernstiger zijn geweest dan Ubiquiti het voorstelde, schrijft techsite KrebsOnSecurity nu.
Lees ook: IoT-provider Ubiquiti mogelijk gehackt
Volgens een klokkenluider hadden hackers volledige toegang tot de AWS servers van Ubiquiti, schrijft Brian Krebs in zijn rapport. Ze zouden daar geraakt zijn via logins voor een root administrator account die door een werknemer van Ubiquiti in het LastPass wachtwoordprogramma was opgeslagen. Van daaruit konden de aanvallers in principe inloggen op de netwerktoestellen van elk van Ubiquiti’s klanten. Het bedrijf maakt namelijk gebruik van (ogenschijnlijk verplichte) cloudaccounts voor de veiligheid van zijn toestellen. Dat heeft voordelen voor updates, maar betekent dus ook dat bij een hack als deze meteen alle routers en netwerktoestellen van het bedrijf kwetsbaar zijn.
In een persmededeling als antwoord op het rapport zegt Ubiquiti dat het geen bewijzen heeft gevonden waaruit moet blijken dat klantengegevens zijn gestolen. Dat is echter niet geruststellend, gezien het rapport van Krebs meldt dat het bedrijf geen logs bijhoudt van wie er welke data of servers aanspreekt.
IoT-leverancier Ubiquiti verdeelt allerlei genetwerkte toestellen, waaronder routers, beveiligingscamera’s, videorecorders en toegangssystemen. Het heeft wereldwijd meer dan tachtig miljoen toestellen verkocht en heeft ook klanten in ons land. De raad voor die klanten is ook na deze onthullingen hetzelfde: nieuwe wachtwoorden en tweestapsverificatie instellen.
Fout opgemerkt of meer nieuws? Meld het hier