Wie schlimm war ein Zwischenfall wirklich, über den der US-Hersteller Ubiquiti am 11. Januar 2021 seine Kunden per E-Mail informierte? The Verge hat in der Nacht auf Donnerstag die neusten beunruhigenden Erkenntnisse zusammengefasst. Ubiquiti werde von einem Whistleblower beschuldigt, einen «katastrophalen» Sicherheitsverstoss zu vertuschen – und nach 24 Stunden des Schweigens habe das Unternehmen nun eine Stellungnahme veröffentlicht, die keine der Behauptungen des Whistleblowers bestreiten würden.
Ubiquiti habe einen hervorragenden Ruf, hält The Verge fest. Die Router und andere Netzwerkgeräte, die auch in der Schweiz verkauft werden, gehörten zur Prosumer-Klasse. Der Firmenname sei zum Synonym für hohe Sicherheitsstandards und benutzerfreundliche Verwaltung geworden.
Ursprünglich hatte Ubiquiti seine Kunden am 11. Januar über eine angeblich geringfügige Sicherheitslücke bei einem «Drittanbieter-Cloud-Provider» informiert, doch die renommierte Cybersecurity-Website KrebsOnSecurity machte am 30. März publik, dass die Sicherheitslücke in Wirklichkeit weitaus schlimmer war, als Ubiquiti zugeben wollte.
Ein Whistleblower des Unternehmens, der mit Brian Krebs sprach, behauptet, dass Ubiquiti selbst gehackt wurde und dass die Rechtsabteilung des Unternehmens Bemühungen verhinderte, die Kunden genau über die Gefahren zu informieren.
Es lohnt sich laut The Verge, den Bericht des renommierten IT-Sicherheitsexperten Krebs zu lesen, um die vollständigen Anschuldigungen zu sehen. Die Zusammenfassung sei, dass die Hacker vollen Zugriff auf die AWS-Server des Unternehmens erlangt hätten. Dies, weil Ubiquiti angeblich Root-Administrator-Logins in einem LastPass-Konto hinterliess.
Die Angreifer hätten über den Passwort-Manager auf alle Ubiquiti-Netzwerkgeräte zugreifen können, die die Kunden zur Steuerung über den Cloud-Service des Unternehmens eingerichtet hatten. Und dieser Online-Dienst sei offenbar für einige der neuen Ubiquiti-Hardware erforderlich.
Als Ubiquiti diese Woche endlich eine Erklärung abgegeben habe, sei diese nicht gerade beruhigend ausgefallen, kommentiert The Verge – sie sei «völlig unzureichend».
Das Unternehmen habe seinen Standpunkt wiederholt, dass es keine Beweise dafür habe, dass auf Benutzerdaten zugegriffen oder diese gestohlen worden seien.
Wie Krebs betonte, habe der Whistleblower explizit erklärt, dass das Unternehmen keine Protokolle darüber führe, wer auf die gehackten Server zugegriffen habe und wer nicht. Ergo: Es könne gar keine Beweise haben.
Das Statement von Ubiquiti bestätige auch, dass der Hacker versucht habe, das Unternehmen um Geld zu erpressen, gehe aber nicht auf die Vorwürfe einer Vertuschung ein.
Nachfolgend geben wir die Ubiquiti-Stellungnahme im Orginal-Wortlaut wieder, die die US-Firma nach dem Enthüllungsbericht von Krebs veröffentlicht hat:
watson hat Ubiquiti kontaktiert und um eine Stellungnahme ersucht zu den von The Verge erhobenen Vorwürfen. Eine Antwort steht aus.
Die Käufer, respektive Nutzer von Ubiquiti-Hardware sind vom Unternehmen bereits aufgefordert worden, das Passwort für den Online-Zugang zu ändern. Zudem sollen sie die Zwei-Faktor-Authentifizierung aktivieren, um zu verhindern, dass sich nicht-autorisierte Dritte Zugriff verschaffen können.
Abgesehen davon können die Kunden nur abwarten und verfolgen, ob weitere Informationen zu dem Vorfall an die Öffentlichkeit dringen. Sollten die kriminellen Angreifer Kundendaten weiterverkaufen oder im Internet veröffentlichen, dürfte dies früher oder später bekannt werden.
Gott sei Dank bin ich "old school" und verwende weiterhin Keepass. Ich traue keiner Cloud.
Wenn dem wirklich so ist dass sie gehackt wurden durch ein Admin Kennwort bei Last Pass, sehe ich aber dass viel grössere Problem bei Last Pass. Dass sollte ein Passwort Manager sein der eigentlich sicher ist. Bin froh setze ich für meine Passwort Verwaltung auf die lokale Lösung von Enpass.
In der Cloud findet (auf Wunsch) die Authentifizierung statt.
Für meinen Geschmack sind auch die Aussagen des Whistle-Blowers zu schwammig.