Włamanie do systemu Ubiquiti. "Nie wiemy, czy ktoś dostał się do bazy i danych klientów"
Użytkownicy usług i produktów firmy Ubiquiti znanej głównie z tworzenia urządzeń sieciowych do zdalnego zarządzania, zachęcani są do zmiany haseł po tym, jak osoby trzecie włamały się na serwer z firmowymi danymi – informuje ZDNet. Do klientów trafiają e-maile, w których cała sytuacja jest tłumaczona, ale nie wszystko na tym etapie jest jasne. Ubiquiti przyznaje, że w tym momencie po prostu nie ma pewności, czy ktoś odczytał dane klientów i mógł je przejąć.
Z wiadomości wynika, że producent jest świadomy "nieautoryzowanego dostępu do części swoich systemów hostowanych u zewnętrznego dostawcy", ale poza tym sprawa nie jest jeszcze wyjaśniona. Obecnie nie ma dowodów na to, by ktoś zyskał w efekcie dostęp do prywatnych kont użytkowników Ubiquiti. Mimo to, producent profilaktycznie zaleca zmianę hasła – także w innych serwisach, jeśli użytkownik stosował analogiczną kombinację.
Producent tłumaczy, że "nie jest świadomy, by osoby trzecie zdobyły dostęp do bazy z danymi klientów, ale nie może wykluczyć, że dane te ujrzały światło dzienne". Ostrzega więc, że wśród nich mogły znajdować się między innymi imiona, adresy e-mail, numery telefonów, adresy zamieszkania oraz zaszyfrowane hasła do kont (a mowa o haszowaniu z solą).
W krótkiej wiadomości Ubiquiti zachęca także do włączenia uwierzytelniania dwuetapowego, dzięki któremu dostęp do kont (nawet w przypadku hipotetycznego wycieku loginu i hasła) nie będzie bezproblemowy. 2FA można dziś stosować podczas logowania do znakomitej większości usług największych dostawców – jak je włączyć w przypadku Facebooka czy Twittera dowiecie się z naszego poradnika.
Warto mieć na uwadze, że ewentualnie wykradzione dane klientów po włamaniu, to w tym przypadku nie tylko szansa dla hakerów do manipulacji przy cudzych sieciach komputerowych ze zdalnym zarządzaniem, ale także "produkt" mający swoją wartość na czarnym rynku. Komplet informacji o konkretnej osobie to bezcenny pakiet dla oszustów, którzy mogą wykorzystywać te dane do szeregu innych przestępstw czy choćby phishingu.