Sicherheitslücke: Datenleck bei Ubiquiti war deutlich umfassender

Der Netzwerkgerätehersteller Ubiquiti hat eine Datenpanne im vergangenen Jahr heruntergespielt und vertuscht. Das geht aus einem Bericht des Journalisten Brian Krebs hervor, der sich auf einen Sicherheitsexperten bei Ubiquiti beruft. In einer Stellungnahme hat der Netzwerkgerätehersteller nicht widersprochen.

Der nicht namentlich genannte Sicherheitsexperte half dem Unternehmen seit Dezember 2020, auf die Datenpanne zu reagieren. Nach seiner Aussage war der Vorfall erheblich schlimmer, als von Ubiquiti in einer Mitteilung im Januar verlautbart. Demnach wollten die Führungskräfte den Vorfall herunterspielen, um den Aktienkurs des Unternehmens zu schützen.

So sollen die Eindringlinge Zugriff auf privilegierte Zugangsdaten gehabt haben, die in einem Lastpass-Konto eines IT-Angestellten von Ubiquiti gespeichert waren. Mit diesen konnten sie sich administrativen Zugriff auf die AWS-Konten von Ubiquiti verschaffen.

"Sie waren in der Lage, kryptographische Geheimnisse für Single-Sign-on-Cookies und Remote-Zugriff zu erlangen", sagte der Sicherheitsexperte zu Krebs. Mit den Daten hätten sie sich an unzähligen Ubiquiti-Geräten weltweit anmelden können, betont der Sicherheitsexperte. Zudem hätten die Eindringlinge Zugriff auf den Quellcode und die Signingkeys von Ubiquiti gehabt.

Ubiquiti konnte keine Beweise für Datenzugriffe finden - weil es keine Protokolle gibt

In einer Stellungnahme zu dem Artikel von Krebs widerspricht Ubiquiti den Anschuldigungen nicht explizit, betont jedoch erneut, dass bisher keine Beweise für einen Zugriff auf die Nutzerdaten gefunden werden konnten. Doch der von Krebs zitierte Sicherheitsexperte hatte bereits zuvor erklärt, dass "Ubiquiti eine nachlässige Protokollierung (keine Zugriffsprotokollierung auf Datenbanken) hatte".

Entsprechend sei das Unternehmen nicht in der Lage zu beweisen oder zu widerlegen, worauf zugegriffen worden sei. Die Eindringlinge hätten es jedoch auf diese Datenbanken abgesehen gehabt, was sich beispielsweise an erstellten Linux-Instanzen mit Netzwerkverbindung zu den besagten Datenbanken erkennen lassen habe.

Im Januar hatte Ubiquiti seine Kundschaft über ein mögliches Datenleck informiert: Das Unternehmen könne nicht ausschließen, dass Eindringlinge auf Nutzerdaten wie Name, Adresse, E-Mail-Adresse, Telefonnummern und gehashte Passwörter zugreifen konnten, auch wenn es dafür keine Beweise gebe. Ubiquiti empfahl der Nutzerschaft, ihre Passwörter zu ändern und eine Zwei-Faktor-Authentifizierung zu aktivieren.