吹哨人举报Ubiquiti隐瞒了1月份数据泄露事件的严重程度
SlashGear 援引知情人士的话称,今年 1 月披露的 Ubiquiti 数据泄露事件的破坏性,远比该公司公开报告的更加严重。作为一家云物联网设备服务企业,Ubiquiti 有向许多企业客户提供自家的系统方案。然而吹哨人举报称,出于对股价的担忧,Ubiquiti 刻意压低了数据泄露事件的预估。
2021 年 1 月,Ubiquiti 向客户发出了一则警告,称其在第三方云托管服务提供商的某些信息技术系统中发现了未经授权的访问。
举报人援引 Kreb on Security 安全专家 Brian Krebs 的话称,Ubiquiti 在声明中未道明的一点,就是该公司自己的数据库,也托管在亚马逊 AWS 这个第三方云服务平台上。
这位不愿透露姓名的消息人士补充道,Ubiquiti 刻意将责任推到了第三方身上,以暗示该公司只是受到了相关漏洞的拖累。
此外本次数据泄露事件的后果也远比 Ubiquiti 公开披露的更加严重,因为黑客能够利用 Ubiquiti 员工的 LastPass 账户来获得攻击目标系统的特殊权限。
报告指出,当该公司的安全工作人员发现具有管理员访问权限的用户创建了多个 Linux 虚拟机时,就很快定位到了相关漏洞。
然而举报人的声明称,不久后就曝光了一个已被用于访问其系统的后门,但该后门是在 1 月初才被删除的。
最后,爆料人还声称 Ubiquiti 已经证实了源码被盗,且希望通过支付 50 个比特币的封口费以换取对外保密。
早前报道称,该公司没有与攻击者有过任何交涉、也没有交纳任何赎金,而后又发现(并删除了)第二个后门。