Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Ubiquiti waarschuwt gebruikers voor mogelijke hack bij externe cloudprovider

Ubiquiti waarschuwt gebruikers voor een mogelijke hack. De fabrikant van netwerkapparatuur stelt dat het onlangs op de hoogte is gebracht van 'ongeoorloofde toegang' tot zijn it-systemen, die worden gehost bij een externe cloudprovider.

De e-mail van Ubiquiti

Ubiquiti meldt in een e-mail dat er vooralsnog geen aanwijzingen zijn dat derde partijen toegang tot Ubiquiti-accounts van gebruikers hebben gekregen. Ook is er volgens de fabrikant vooralsnog geen bewijs dat databases met gebruikersgegevens zijn ingezien. Daarbij meldt Ubiquiti dat het bedrijf niet volledig kan garanderen dat er geen gebruikersgegevens als namen en e-mailadressen zijn blootgesteld.

Het bedrijf raadt gebruikers aan om hun wachtwoord te wijzigen. Wanneer gebruikers hun Ubiquiti-wachtwoord ook bij andere diensten gebruiken, is het aan te raden om ook dat wachtwoord aan te passen. Daarnaast benadrukt Ubiquiti dat gebruikers tweefactorauthenticatie op hun Ubiquiti-accounts kunnen instellen. De fabrikant meldt verder geen details over de mogelijke hack. Zo wordt niet duidelijk welke gegevens mogelijk wel zijn ingezien. Tweakers heeft hierover vragen uitstaan bij Ubiquiti.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Daan van Monsjou

Nieuwsposter

11-01-2021 • 21:25

95 Linkedin

Submitter: fl1mpie

Reacties (95)

Wijzig sortering
Wat dacht u van het omlaag brengen van de zendsterkte van accesspoints in een firmware update. Hels kan ik worden als een ander over mijn product beslist in negatieve zin. Dit is aan mijzelf en niet aan een ander.
Ugh.... Is dat zo? Ik dacht nu juist aan de Cloud Key Gen2 omdat deze i.t.t. de UDM Pro nog geen cloud login vereiste. Jammer dat ze hun produkten zo enorm onderuit halen.

Ik wou er naartoe om de NVR functies te gaan gebruiken, deze kan je niet gewoon zelf in docker draaien (sowieso al een enorm minpunt). Maar dan ga ik wel naar wat anders kijken voor NVR.

Ik denk dat als ze uiteindelijk dit op de dockers ook verplicht maken, ik helemaal afstap van Unifi. Jammer dat goede bedrijven toch altijd weer omslaan. Zie ook Google ("don't be evil" en nu het totaal omgekeerde).

[Reactie gewijzigd door GekkePrutser op 12 januari 2021 12:01]

Yep, de Gen2+ die ik heb is ook geupdate (nadat ik netjes op update drukte).
Daarna kan je wel de cloud functionaliteit uitschakelen hoor, lokaal account aanmaken en dan het vinkje uit :)
Ah okee, doet hij dan verder niks met de cloud login? Als hij er verder niet mee communiceert is het goed.

Ik had begrepen dat het op de UDM Pro gewoon helemaal niet uit kon en lokale accounts gewoon totaal niet meer konden (uit een uitgebreide discussie op reddit, heb de URL even niet bij de hand). Maar dit was van een maand of 6 geleden toen de UDM Pro net uitkwam, misschien is daar door de commotie vanaf gezien.
Met de apps van Ubiquiti kan ik de UniFi controller nog gebruiken als ik remote access uitschakel, maar UniFi Protect is via de app dan ook lokaal niet meer bereikbaar ... :(
Correct, dat ervaar ik ook. Er zijn talloze threads op het ubuquiti forum hierover, deze bv: https://community.ui.com/...-ab97-5c7e384b0a72?page=2

Ook met de Unifi Portal app kom je er niet onderuit je controller aan de cloud gekoppeld te hebben, zwaar k. dus.
In diat geval is het dus een heel groot probleem als je inloggegevens op straat liggen want dan kan iedereen aan je netwerkinstellingen klooien en je verkeer routeren via hun eigen netwerk.
Want je wachtwoord wijzigen is te moeilijk?

UBNT ondersteunt ook al lang 2FA op accounts. Dit niet hebben aanstaan voor een kritische account (waaronder je netwerk-infrastructuur onder valt) is gewoon niet verstandig.
Nee, dat is niet moeilijk maar hun infrastructuur is gehackt. Dat had sowieso niet moeten gebeuren, en de aanvallers kunnen hiermee al toegang gehad hebben tot configuraties die remote toegankelijk waren. Het wachtwoord veranderen lost dit op maar dan is de schade al gedaan.

En 2FA of niet, het blijft iets dat server-side gecheckt wordt, de server dus waar de hackers op zaten te rommelen.

Wat ik wil is dat mijn lokale spul gewoon helemaal niet te benaderen is via een cloud dienst. Dan ben ik ook niet afhankelijk van hun beveiliging daar.
Alleen hashen is een oude techniek. Maar je zal dan verbaasd zijn hoeveel systemen nog steeds wachtwoorden versleutelen op basis van MD5. Ooit gemaakt, nooit geupdated.
Nou, hierbij moet je wel in gedachten houden dat de reden dat MD5 niet meer wordt aangeraden, is dat er collisions gevonden kunnen worden. Dit is belangrijk bij data integriteits doeleinden en ondertekening. Een aanvaller kan een collision veroorzaken en dus eigen code toevoegen bij gebruik van dezelfde hash.

Echter in het geval van een paswoord versleuteling is dat niet echt een probleem. Een collision is even moeilijk te vinden als het paswoord zelf als je de MD5 hash hebt. Er zijn langere en betere hashes, maar de belangrijkste reden voor het uitfaseren van MD5 is niet echt van toepassing in dit scenario. Het niet gebruiken van een salt is wel een probleem in bovenstaande tweet, maar dat geldt bij elke hash, zelfs SHA-512. Een andere hash lost ook de brute force problemen niet op, daarvoor zijn dingen als bcrypt en PBKDF2 veel beter.

[Reactie gewijzigd door GekkePrutser op 12 januari 2021 12:08]

Nee, het staat gewoon letterlijk in de mail van UI:
We cannot be certain that user data has not been exposed. This data may include your name, email address, and the one-way encrypted password to your account (in technical terms, the passwords are hashed and salted).
Dat is letterlijk wat ik zeg, er staat nergens dat ze de hashes waarschijnlijk hebben.
Ik zie dat ik de meest ouderwetse/wantrouwende ben. Ik versleutel die TOTP barcodes met GPG en commit ze naar een git repo.
Als je de code overneemt en in een Keepas zet, kun je die oook weer hergebruiken voor de Google authenticator
Als je de code overneemt en in een Keepas zet, kun je die oook weer hergebruiken voor de Google authenticator
Neemt het handmatig toevoegen niet weg.

Maar kennelijk maakt Google tegenwoordig ook een backup.
Ik heb wel backup codes kunnen genereren tijdens het activeren van 2FA. Deze heb ik dan op een veilige plek opgeslagen.
Voor Google is er wel een backup optie, maar die vereist wel dat je de telefoon nog in je bezit hebt of dat je vooraf één van de maatregelen hebt genomen die worden genoemd in dit artikel.
Bij het instellen van de 2FA geeft Unifi je ook een reeks aan herstel codes. Dus als je die veilig opslaat, zit je goed.
En! mocht er bij toeval toch van alles fout gaan. Alle apparaten gewoon instellen op factory reset. En opnieuw instellen met een nieuw account.
Dat zou ook kunnen met VPN toegang. Voor dit soort beheer heb je als het goed is geen cloud account nodig.
Die Unifi gedachte is dan ook centraal beheer van meerdere locaties. Maar ja via cloud blijkbaar geen “best practice” automatiseerder die werkt met kleine bedrijven en beheer op zich nemen doen dat met VPN.
Ook het aanmelden van nieuwe unifi producten via cloud wordt als risiko gezien.
Gemak dient de mens , maar vaak ook kwaadwillenden.
Klopt helemaal hoor, dit komt erg phisherig over. Als je al links gebruikt, doe het dan naar je eigen domein in plaats naar een vage third party. Bij ons op het werk zijn we juist zo druk bezig gebruikers erop te wijzen dat soort dingen te controleren. Dit vind ik ook geen goede zet van Unifi.

Ongetwijfeld komt het doordat ze een derde partij gebruiken om die emails te sturen, die er weer allerlei analytica aanhangt van wie op welke knop drukt. Maar in het geval van zo'n "change my password" functie is dat niet acceptabel. Juist omdat het al gaat om een hack (wat al niet had moeten gebeuren) vind ik het erg onzorgvuldig dat ze de email dan ook nog eens zo afhandelen.

Ook wat @supersnathan94 hieronder zegt: Voor degene die die database heeft bemachtigd is dat natuurlijk het eerste wat ze gaan doen.

En ik heb zelf nog op die knop geklikt ook, doh... Ondanks dat ik zag dat het geen ui.com link was, dacht ik dat het wel goed zat.. Was ook zo, maar had weliswaar ook goed fout kunnen zijn. Ook een leermomentje voor mij :X

[Reactie gewijzigd door GekkePrutser op 12 januari 2021 12:33]

Morgen nog maar eens veranderen en dan via een vertrouwde url ;)


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone 12 Microsoft Xbox Series X LG CX Google Pixel 5 Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True