Ubiquiti: Ich lag falsch!

Am 3. April 2021 habe ich einen Artikel geschrieben, in jenem ich meinen enormen Unmut über einen Sicherheitsvorfall bei Ubiquiti/UBNT kundgetan habe. Stellt sich raus: Ist nicht so gewesen. Ich muss das korrigieren.

In meinem damaligen Blogpost (Link) hatte ich über bei UBNT entwendete Nutzer- & Zugangsdaten geschrieben, jene – angeblich – durch einen Hackerangriff abhanden gekommen war. Ubiquiti ist in meinen Augen damals nicht adäquat mit dem Vorfall umgegangen. Die Infrastruktur von UBNT’s Backend wurde – basierend auf den Informationen der von mir verlinkten Quelle – kritisiert. Man liest meine enorme Verärgerung sehr deutlich heraus. Meine Informationen waren allerdings falsch.

tl;dr: Die Realität ist manchmal der weitaus größere Krimi

Die betreffende Quelle, auf jenen ich in meinem Blogpost verwiesen habe, befindet sich noch hier (Link). Heute lese ich bei Bleepingcomputer (Link), dass die Geschichte hinter dem Thema eine völlig andere ist, als ursprünglich von mir angenommen. Der „Whistleblower“ ist ein ehemaliger Angestellter von UBNT.

Die tatsächliche Sachlage stellt sich wie folgt dar:

Der Angestellte hatte selbst Zugriff auf die Daten, basierend auf Rollen-/Vertrauensbasis. Dies ist im Kontext seiner Tätigkeit bei UBNT korrekt. Die Daten sind nicht – wie ursprünglich angenommen – aufgrund eines externen Hackerangriffs / einer technischen Schwachstelle abhanden gekommen, sondern aufgrund der am schlechtesten abzusichernden Schwachstelle überhaupt: Vertrauensmißbrauch.

Alle Anschuldigungen, jene der Angestellte zudem selbst – als damals mutmaßlicher Whistleblower – von sich gab, waren falsch. Ich hatte Teile dieser Anschuldigungen in meinem Blogpost wortwörtlich, als Zitat übernommen. Die Zugriffe auf die Daten fanden damals über „Surfshark VPN“ statt, jenen Dienst der Angestellte von UBNT via Paypal bezahlte. Identifiziert wurde er, als sein Internetzugriff unterbrochen und der VPN-Tunnel nicht wieder aufgebaut wurde. Der Zusammenhang des betreffenden Angestellten (unter Anklage) und UBNT wurde über LinkedIn hergestellt, das betreffende Profil ist inzwischen nicht mehr erreichbar.

Ferner setzte der Angestellte das Unternehmen UBNT mit einer Lösegeldforderung unter Druck. Der Kurswert des Unternehmens war zu diesem Zeitpunkt im Sinkflug. Das sorgte für Milliardenverluste bei den Anlegern.

Im Netz liest sich der komplette, tatsächliche Sachverhalt wie ein Krimi.

Der tatsächliche Angriff fand von Innen statt. Ein Problem, mit jenem sich immer mehr Unternehmen konfrontiert sehen. Warum es zu diesem Vorfall gekommen ist, ist mangels Hintergrundinformationen aus meinen Augen schwer zu beurteilen. Ich persönlich halte das für mehr als unklug, z.B. aufgrund eines Zerwürfnisses in dieser Form gegen einen ehemaligen Arbeitgeber vorzugehen. Ich glaube aber auch, dass ein gutes Innenverhältnis solche Vorfälle am besten verhindert.

Ob tatsächlich Daten abhanden gekommen oder verkauft worden sind? Es sind – anders als zuvor befürchtet – bislang keine der von mir verwendeten, für UniFi-Konten erstellten Mailadressen auf „haveibeenpwned“ oder ähnlichen Diensten gelistet.

Das ändert zwar nichts an meinen Wertungen zu Teilen des Produktlineups von UBNT. Allerdings ist meine Einschätzung über die Sicherheitsinfrastruktur im Backend von UBNT – und damit auch die Grundlage für den von mir veröffentlichen Artikel – falsch. Meine harsche Kritik war – basierend auf den aktuellen Informationen – alles andere als angemessen.

Es liegt nicht in meiner Natur, meinen Fehler auf Dritte, bzw. meine Quelle, Brian Krebs zu schieben. Ich schätze Krebs für seine Arbeit weiterhin. Alle anderen Quellen, jene ich zur Validierung meines Artikel besuchte, verwiesen ebenfalls auf Krebs. Es gibt in diesem Zusammenhang also faktisch nur eine einzige Aussage – eine falsche. Ich hätte das erkennen müssen.

In diesem Sinne will ich für die Falschinformation bei Euch um Entschuldigung bitten. Der Schaden, jenen das Unternehmen UBNT (inklusive Kursverlust) durch den ehemaligen Angestellten erlitten hat, ist irreparabel. Eine notwendige Korrektur und dieser Hinweis ist das mindeste, was ich tun kann.

Mein ursprünglicher Artikel befindet sich hier: (Link)
Die neuen Informationen befinden sich u.a. hier: (Link, Bleepingcomputer); (Link, justice.gov); (Link, Hacker News)

Beitragsbildquelle: Wikimedia Commons