De inbraak bij servers van de fabrikant van netwerkapparatuur Ubiquiti was volgens een bron van KrebsOnSecurity veel ernstiger dan het bedrijf deed voorkomen. De criminelen hadden volgens hem beheerdersrechten op de servers bij AWS.
Ubiquiti meldde in januari 'een mogelijke hack bij een externe cloudprovider' en adviseerde klanten uit voorzorg hun wachtwoord te wijzigen, maar volgens een beveiligingsdeskundige die betrokken was bij het onderzoek naar de hack, weerspiegelde deze mededeling niet de ernst van de zaak. Hij meldt dit anoniem aan KrebsOnSecurity en heeft dit in een brief gerapporteerd aan de Europese privacytoezichthouder European Data Protection Supervisor.
De klokkenluider noemt de hack 'catastrofaal' en volgens hem verzweeg Ubiquiti bewust de impact: "De kraak was gigantisch, klantendata was in gevaar en er was risico op toegang tot apparaten van klanten bij bedrijven en huishoudens." Volgens de man hadden de criminelen via backdoors lees- en schrijftoegang tot de Ubiquiti-servers bij Amazon Web Services.
Daardoor konden ze bij de geheime data voor single sign-on cookies en sleutels, inloggegevens van een it-medewerker en uiteindelijk bij Ubiquiti AWS-accounts, applicatielogs, broncode, databases en gebruikerscredentials. De toegang maakte dat de criminelen volgens de beveiligingsonderzoeker grote hoeveelheden apparaten met cloudtoegang wereldwijd konden authenticeren.
De kraak werd in december vorig jaar al opgemerkt na de ontdekking van door de criminelen opgezette Linux-vm's en de installatie van een backdoor. De criminelen lieten vervolgens weten 50 bitcoin, op dit moment omgerekend bijna tweeënhalf miljoen euro, te eisen en in ruil daarvoor hun inbraak geheim te houden en details over een tweede backdoor te verstrekken. Ubiquiti ging daar niet op in. Beveiligingsonderzoekers ontdekten die tweede backdoor vervolgens zelf.
Volgens de klokkenluider had Ubiquiti uit voorzorg alle wachtwoorden van klanten moeten resetten, ook omdat de impact onduidelijk was wegens gebrekkig loggen wie toegang had tot de databases. KrebsOnSecurity raadt gebruikers aan dat alsnog te doen. Ook stelt de beveiligingsonderzoeker dat het een goed idee is om profielen te verwijderen, de firmware te updaten en nieuwe profielen te maken met nieuwe credentials.