• IT-Karriere:
  • Services:

Sicherheitslücke: Datenleck bei Ubiquiti war deutlich umfassender

Laut einem Bericht konnten die Angreifer auf Quellcode und Credentials von Ubiquiti zugreifen. Der Netzwerkgerätehersteller widerspricht nicht.

Artikel veröffentlicht am ,
Ubiquiti stellt Netzwerkinfrastruktur und IoT-Geräte wie Überwachungskameras her.
Ubiquiti stellt Netzwerkinfrastruktur und IoT-Geräte wie Überwachungskameras her. (Bild: Ubiquiti/Screenshot: Golem.de)

Der Netzwerkgerätehersteller Ubiquiti hat eine Datenpanne im vergangenen Jahr heruntergespielt und vertuscht. Das geht aus einem Bericht des Journalisten Brian Krebs hervor, der sich auf einen Sicherheitsexperten bei Ubiquiti beruft. In einer Stellungnahme hat der Netzwerkgerätehersteller nicht widersprochen.

Stellenmarkt
  1. Zühlke Engineering GmbH, Frankfurt am Main, Hamburg, Hannover, München, Stuttgart
  2. Microsoft, Dublin (Irland)

Der nicht namentlich genannte Sicherheitsexperte half dem Unternehmen seit Dezember 2020, auf die Datenpanne zu reagieren. Nach seiner Aussage war der Vorfall erheblich schlimmer, als von Ubiquiti in einer Mitteilung im Januar verlautbart. Demnach wollten die Führungskräfte den Vorfall herunterspielen, um den Aktienkurs des Unternehmens zu schützen.

So sollen die Eindringlinge Zugriff auf privilegierte Zugangsdaten gehabt haben, die in einem Lastpass-Konto eines IT-Angestellten von Ubiquiti gespeichert waren. Mit diesen konnten sie sich administrativen Zugriff auf die AWS-Konten von Ubiquiti verschaffen.

"Sie waren in der Lage, kryptographische Geheimnisse für Single-Sign-on-Cookies und Remote-Zugriff zu erlangen", sagte der Sicherheitsexperte zu Krebs. Mit den Daten hätten sie sich an unzähligen Ubiquiti-Geräten weltweit anmelden können, betont der Sicherheitsexperte. Zudem hätten die Eindringlinge Zugriff auf den Quellcode und die Signingkeys von Ubiquiti gehabt.

Ubiquiti konnte keine Beweise für Datenzugriffe finden - weil es keine Protokolle gibt

Golem Akademie
  1. IT-Sicherheit für Webentwickler
    31. Mai - 1. Juni 2021, online
Weitere IT-Trainings

In einer Stellungnahme zu dem Artikel von Krebs widerspricht Ubiquiti den Anschuldigungen nicht explizit, betont jedoch erneut, dass bisher keine Beweise für einen Zugriff auf die Nutzerdaten gefunden werden konnten. Doch der von Krebs zitierte Sicherheitsexperte hatte bereits zuvor erklärt, dass "Ubiquiti eine nachlässige Protokollierung (keine Zugriffsprotokollierung auf Datenbanken) hatte".

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Entsprechend sei das Unternehmen nicht in der Lage zu beweisen oder zu widerlegen, worauf zugegriffen worden sei. Die Eindringlinge hätten es jedoch auf diese Datenbanken abgesehen gehabt, was sich beispielsweise an erstellten Linux-Instanzen mit Netzwerkverbindung zu den besagten Datenbanken erkennen lassen habe.

Im Januar hatte Ubiquiti seine Kundschaft über ein mögliches Datenleck informiert: Das Unternehmen könne nicht ausschließen, dass Eindringlinge auf Nutzerdaten wie Name, Adresse, E-Mail-Adresse, Telefonnummern und gehashte Passwörter zugreifen konnten, auch wenn es dafür keine Beweise gebe. Ubiquiti empfahl der Nutzerschaft, ihre Passwörter zu ändern und eine Zwei-Faktor-Authentifizierung zu aktivieren.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 15,99€
  2. 7,99€
  3. 10,49€

Genie 04. Apr 2021 / Themenstart

Ich weiß nicht, was du unter Steiger verstehst und wie hoch deine Hallen sind, aber wir...

brainslayer 03. Apr 2021 / Themenstart

so ziemlich alle der geräte können das. du musst nur die hersteller firmware runterwerfen...

Gormenghast 01. Apr 2021 / Themenstart

...dann erwarte ich eine offene Kommunikation.

Union 01. Apr 2021 / Themenstart

Hat am 1. April nicht lange gedauert bis der erste tolerante Mensch da war :( Aber es...

Kommentieren


Folgen Sie uns
       


Gopro Hero 9 Black - Test

Ist eine Kamera mit zwei Displays auch doppelt so gut?

Gopro Hero 9 Black - Test Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /