Ubiquiti被指控掩盖“灾难性”数据泄漏事件

近日，专业消费级路由器厂商Ubiquiti被指掩盖一个“灾难性”的安全漏洞。事件发生24小时之后，该公司发表声明，并没有否认该事件。

Ubiquiti表示，在2021年1月份发给“第三方云提供商”的公开信中，发现了一个轻微的安全漏洞。不过，KrebsOnSecurity 报道称，该漏洞实际远比Ubiquiti描述的更加严重。一位来自该公司的举报人向 Krebs 透露，Ubiquiti 本身也被黑客入侵，只不过该公司的法律团队阻止了向客户准确报告危险的努力。

黑客获得了对公司 AWS 服务器的完全访问权，因为据称 Ubiquiti 在 LastPass 账户中留下了根管理员的登录信息，黑客可能已经能够访问客户通过公司的云服务设置控制的任何 Ubiquiti 网络设备。

消息人士告诉 Krebs：“他们能够获得单点登录cookie和远程访问的密码学秘密，完整的源代码控制内容，以及签名密钥”。而 Ubiquiti 今天晚上终于发表声明时，公司依然在强调目前没有任何证据表明用户数据被访问或者被盗。

但正如 Krebs 所指出的那样，举报人明确表示，该公司并没有保留日志，而这些日志可以作为该证据，说明谁做了或没有访问被黑的服务器。Ubiquiti 的声明还证实，黑客确实试图向其勒索钱财，但并没有涉及掩盖事实的指控。

【责任编辑：赵宁宁 TEL：（010）68476606】
本文转载自网络，原文链接：http://network.chinabyte.com/35/725697035.shtml
本站部分内容转载于网络，版权归原作者所有，转载之目的在于传播更多优秀技术内容，如有侵权请联系QQ/微信：153890879删除，谢谢！