Бывший старший разработчик Ubiquiti Николас Шарп (Nickolas Sharp), по сообщению The Register, приговорён к шести годам лишения свободы и крупному денежному взысканию по делу о краже конфиденциальных данных у своего работодателя и вымогательстве.

Скандал разгорелся в начале 2021 года. Фирма Ubiquiti, специализирующаяся на сетевых продуктах и IoT-устройствах, сообщила о несанкционированном подключении к одной из своих систем, в результате чего произошла крупная утечка корпоративной информации. Злоумышленники получили полный доступ к базам данных Ubiquiti на платформе Amazon Web Services (AWS). Сторонние эксперты назвали атаку катастрофической.

Источник изображения: pixabay.com

Однако впоследствии выяснилось, что за «взломом» стоит 37-летний Николас Шарп. Он воспользовался своим доступом к AWS и аккаунтам GitHub для кражи приватных данных Ubiquiti, включая 1100 репозиториев. Затем мошенник анонимно отправил одному из высокопоставленных сотрудников Ubiquiti электронное письмо с требованием выкупа в размере 50 биткоинов, что на тот момент соответствовало примерно $1,9 млн. Впрочем, компания платить злоумышленнику отказалась.

В конце 2021-го Шарп был арестован. Изначально он отрицал обвинения в свой адрес, но затем признал себя виновным во вторжении в компьютерную инфраструктуру Ubiquiti, мошенничестве с использованием электронных средств связи и даче ложных показаний ФБР. Приговор в отношении подозреваемого вынесла окружной судья США Кэтрин Полк Файлла (Katherine Polk Failla). Помимо отбывания тюремного заключения, Шарпу предстоит выплатить почти $1,6 млн для покрытия расходов Ubiquiti. Кроме того, у него будет конфисковано оборудование, использовавшееся для атаки.

Шарп использовал Surfshark VPN, который оплатил с личного аккаунта PayPal. Чтобы замести следы, он изменил логи доступа и имена сессий так, что со стороны казалось, будто его коллеги получали доступ к данным. Он же принимал участие в расследовании данного инцидента. Однако злоумышленник совершил ошибку, забыв включить VPN при одном из обращений к GitHub компании, так что ФБР мгновенно выяснило его личность. Уже после этого Шарп анонимно обратился к СМИ, сообщив о взломе Ubiquiti, что привело к падению акций и потере $4 млрд капитализации.

Производитель сетевого оборудования Ubiquiti подал в суд на Брайана Кребса (Brian Krebs), бывшего журналиста Washington Post, который с 1995 года освещает киберинциденты, действия хакеров и их группировок, взломы и многие другие аспекты информационной безопасности. Компания утверждает, что он якобы ложно обвинил её в «сокрытии» кибератаки путём намеренного введения клиентов в заблуждение утверждением о «так называемой утечке данных».

В январе 2021 года Ubiquiti сообщила о возможной утечке данных, которая произошла в конце 2020-го. В марте Кребс изложил подробности в материале, который позже обновил, используя информацию от бывшего сотрудника Ubiquiti Николаса Шарпа (Nickolas Sharpe), непосредственно участвовавшего в краже данных и вымогательстве. В декабре прошлого года Министерство юстиции США предъявило Шарпу обвинения.

Кребс утверждал, что компания в течение нескольких дней после выяснения ситуации молчала, а затем предложила клиентам самостоятельно поменять пароли вместо того, чтобы принудительно сбросить их аккаунты, поскольку в руках злоумышленников оказалось всё необходимое для удалённого управления устройствами пользователей. При этом, по его словам, в силу отсутствия детальных журналов доступа к скомпрометированным хранилищам информации Ubiquiti не могла точно сказать, сколько и каких именно данных могло утечь.

Источник изображения: Pixabay

В своём иске Ubiquiti заявила, что компания, вопреки словам Кребса, незамедлительно уведомила своих клиентов об атаке и проинструктировала их принять дополнительные меры безопасности для защиты своей информации. Затем Ubiquiti уведомила общественность путём отправки заявления в SEC. Эти факты, как утверждает Ubiquiti, блогер намеренно проигнорировал с целью «увеличения дохода от рекламы за счёт привлечения трафика на свой веб-сайт». В иске отмечено, что нет никаких доказательств, подтверждающих слова Кребса, у которого якобы был только один источник — Николас Шарп.

После выхода пресс-релиза Минюста США, в котором Шарпа обвинили в причастности в кибератаке, Кребс не внёс правки в свою публикацию. «Несмотря на эти опровергающие факты, на следующий день Кребс опубликовал в своём блоге статью, в которой удвоил свои ложные обвинения в адрес Ubiquiti и намеренно ввёл своих читателей в заблуждение, заставив их поверить в то, что его более раннее сообщение не было получено от Шарпа, хакера, стоящего за атакой», — указано в иске.

После публикации статей Кребса весной 2021 года цена акций Ubiquiti упала примерно на 20%, и компания потеряла более $4 млрд рыночной стоимости. В нынешнем иске Кребс обвиняется в клевете по двум пунктам, в частности в попытке шантажа, нарушении федерального законодательства США и правил Комиссии по ценным бумагам и биржам США (SEC). Ubiquiti добивается рассмотрения дела судом присяжных и требует выплаты компенсации ущерба в размере более $75 тыс., а также штрафа в размере $350 тыс. и возмещения всех судебных расходов и издержек, включая гонорары адвокатов.

Интернет-источники сообщают о том, что взлом компании Ubiquiti, специализирующейся на сетевых продуктах и устройствах для Интернета вещей (IoT), на деле был гораздо более серьёзным, нежели говорилось в официальных заявлениях. В январе, напомним, Ubiquiti оповестила клиентов о необходимости смены паролей в связи с риском утечки персональной информации.

Тогда в компании сообщили о несанкционированном доступе к одной из своих систем, работа которой поддерживается сторонним облачным провайдером. Причём Ubiquiti подчёркивала, что незаконная активность, связанная со взломом, не наблюдалась. Однако эксперт (пожелал остаться неизвестным), помогавший компании в решении проблемы, рассказал Krebs on Security, что на деле ситуация обстояла совершенно иным образом.

По его словам, атака носила катастрофический характер. Утверждается, что нападавшие получили полный доступ к базам данных Ubiquiti на платформе Amazon Web Services (AWS). Более того, злоумышленники смогли обеспечить себе доступы с правами администратора к серверам и данным компании в AWS. В результате атаки нападавшие теоретически могли получить возможность дистанционной авторизации на миллионах устройств Ubiquiti по всему миру.

Отмечается, что в рамках предоставляемых услуг AWS отвечает за безопасность серверного оборудования и базового программного обеспечения, тогда как клиент (в данном случае Ubiquiti) должен организовать защиту своих данных. Иными словами, во взломе виновата сама Ubiquiti. Компания же предпочла умолчать о последствиях взлома, дабы не портить свою репутацию и не наносить ущерба бизнесу, и устранила найденные бреши.

Американская компания Ubiquiti, поставщик сетевых продуктов и решений для Интернета вещей (IoT), снова вызвала недовольство потребителей. На этот раз претензии пользователей связаны с интерфейсом для управления сетевыми продуктами. Ubiquiti обвиняется в демонстрации назойливой рекламы.

Один из пользователей отметилм, что такие объявления занимают практически треть полезного пространства интерфейса. В службе поддержки Ubiquiti, впрочем, заявляют, что это вовсе не реклама, а новый вид интерфейса. Так или иначе, но, как можно видеть на скриншоте ниже, значительную часть окна приложения занимает сообщение о продаже продуктов. При этом доступна кнопка «Купить сейчас».

В обсуждении пользователи отмечают, что реклама показывается как в локальной версии интерфейса управления устройствами, так и в облачной, которую компания сейчас активно продвигает. Более того, сам код рекламного блока, по утверждению автора скриншота, сделан так, чтобы затруднить его скрытие обычными блокировщиками рекламы.

Ранее, напомним, Ubiquiti оказалась втянута в скандал вокруг сбора телеметрических данных. А не так давно стало известно, что из-за утечки в распоряжении злоумышленников могли оказаться имена, адреса электронной почты и пароли клиентов Ubiquiti.

Американская компания Ubiquiti, поставщик сетевых и IoT-решений, сообщила о несанкционированном доступе к одной из своих систем, работа которой поддерживается сторонним облачным провайдером. Сообщается, что какая-либо незаконная активность, связанная с использованием персональных данных клиентов, пока зафиксирована не была. Однако вероятность утечки личной информации пользователей не исключается.

В официальном уведомлении говорится, что в распоряжении злоумышленников теоретически могли оказаться имена, адреса электронной почты и пароли клиентов Ubiquiti. Кроме того, могли «утечь» физические адреса и телефоны, если они предоставлялись клиентами компании.

Ubiquiti рекомендует пользователям сменить пароль и активировать двухфакторную аутентификацию. Кроме того, если идентичные пароли применялись для доступа к другим сервисам, их также рекомендуется поменять.

Компанию Ubuquiti уже обвиняли в том, что её устройства, точки доступа Wi-Fi, помимо выполнения своей главной задачи, отсылают некие телеметрические данные производителю. Помимо стандартных заявлений, Ubiquiti обещала ввести опцию отключения телеметрии в новых версиях прошивок.

Как оказалось, история на этом не закончилась. Компания изменила свою политику относительно телеметрии, причём сделала это неофициально и изменения были замечены в одном из разделов веб-сайта Ubiquiti лишь постфактум.

В разделе «Analytics Data Collection FAQ» данные телеметрии были разделены на «личные» (personal) и «other» (прочие). Отключить можно только телеметрию, попадающую под первый пункт в то время, как «прочие» данные, к примеру, о производительности и сбоях, «будут отправлены автоматически». Ранее заявление Ubiquiti о возможности отключения телеметрии в новых версиях прошивок касалось любых данных, независимо от их статуса.

Представитель компании подтвердил, что изменения вступят в силу во всех прошивках, начиная с версии 4.1.0, однако он же отметил, что отсылка «прочих» данных всё равно может быть отключена путём ручного редактирования файла конфигурации.

Насколько Ubiquiti кривит душой, сказать нельзя, однако один из пользователей обнаружил, что в бета-прошивке 5.13.9 при использовании опции отказа телеметрии некоторые данные продолжали отсылаться. Другой владелец продукции Ubiquiti отметил, что полностью отсылку данных не прекращает даже модификация файла конфигурации.

Всё это потенциально может не лучшим образом сказаться на репутации Ubiquiti. Неясности со сбором пользовательских данных и невозможность полного отключения телеметрии могут привести лишь к тому, что даже лояльные владельцы оборудования этого производителя могут задуматься о смене поставщика. Дискуссия на форуме компании продолжается.

История с телеметрией в операционных системах семейства Windows прогремела на весь мир и споры не прекращаются по сию пору. Однако не пренебрегают такими способами и производители аппаратного обеспечения.

Последней, кто был замечен в реализации «phone home» (сленговый термин, означающий отсылку пользовательских данных) в своих устройствах, стала компания Ubiquiti, известный производитель оборудования для построения сетей Wi-Fi, в том числе крупномасштабных.

Пользователи обнаружили, что в последних версиях прошивок точек доступа Ubiquiti (серия 4.0.60+) идёт отсылка некоей информации по адресу trace.svc.ui.com. Какая это информация, пока неясно; возможно, речь идёт просто о проверке обновлений, но владельцы устройств Ubiquiti обеспокоены самим фактом такого поведения обновлённых точек доступа.

В настоящее время на официальном форуме компании и в других местах идёт активное обсуждение. Уже обнаружено, что блокировка соответствующего соединения может приводить к утечке памяти и даже к самопроизвольной перезагрузке устройства. Этот баг оперативно исправили в прошивке .61. Известно также, что ресурс trace.svc.ui.com размещён в облаке Amazon Web Services.

Компания Ubiquiti Networks выпускает целый спектр оборудования для беспроводных сетей

Мнения пользователей разделились. Одни считают такое поведение нарушением общего регламента по защите данных (GDPR), другие сообщают, что при отключенной опции «Enable connectivity monitor and wireless uplink» посторонний трафик, похоже, не генерируется, а третьи полагают, что это может быть частью облачных сервисов Ubiquiti.

Впрочем, основная претензия состоит в том, что пользователей не предупредили о нововведении и не дали явной и простой возможности отказаться от участия в сборе данных (opt-out). А предложение представителя компании ещё раз ознакомиться с пользовательским соглашением, условиями предоставления услуг и политикой приватности только разозлило участников дискуссии.

В компании заявляют, что телеметрия отслеживает исключительно сбои в работе устройств, все данные анонимны, зашифрованы и не несут никакой пользовательской информации. Проверить это не представляется возможным. Также сообщается о том, что блокировка трафика по указанному адресу не должна приводить к негативным последствиям в работе устройств Ubiquiti. Некоторые участники обсуждения уже заявили, что отложили закупки оборудования Ubiquiti до полного прояснения ситуации.

UPD 04.11: Ubiquiti выпустила официальное заявление, в котором ещё раз подчеркнула, что: а) собираются только действительно необходимые данные и отчёты о проблемах с целью улучшения дальнейшей работы продуктов компании; б) данные анонимные их сбор соответствует GDPR; в) собранные данные не будут доступны никаким третьим лицам. Кроме того, в свежих версиях прошивок добавят опцию простого отказа от телеметрии, а пока можно блокировать трафик до упомянутого выше хоста.