KrebsOnSecurity援引公司内部一位不愿透露姓名的举报人的话说，网络设备制造商Ubiquiti一直在掩盖数据泄露的严重性，该数据泄露使客户的硬件面临未经授权访问的风险。

今年1月，这家路由器、联网摄像头和其他联网设备的制造商披露了它所说的“未经授权进入第三方云提供商托管的我们的某些信息技术系统”。通知说，虽然没有证据表明入侵者访问了用户数据，但该公司不能排除他们获得用户姓名、电子邮件地址、加密哈希密码、地址和电话号码的可能性。ubiiti建议用户修改密码并开启双因素认证。

存储在云中的设备密码

KrebsOnSecurity周二的报告援引了Ubiquiti的一名安全专家的话说，他帮助公司应对了从2020年12月开始的两个月的入侵。这名人士表示，这起事件比ubiiti所披露的情况严重得多，高管们正在将严重程度降至最低，以保护该公司的股价。

这次入侵发生时，ubiiti正在推动(如果不是完全要求的话)基于云的账户，让用户建立和管理运行更新固件版本的设备。这里的一篇文章说，在UniFi Dream机器(一种流行的路由器和家庭网关设备)的初始设置过程中，用户会被提示登录他们的云账户，如果他们还没有，就创建一个账户。

“您将使用此用户名和密码本地登录到托管在UDM上的UniFi网络控制器，UDM的管理设置UI，或通过UniFi网络门户(https://network.unifi.ui.com)进行远程访问，”文章继续解释。今年1月该消息曝光后，ubiiti的用户就在这个帖子中抱怨这一要求，以及它对他们设备安全造成的风险。

伪造身份验证饼干

根据亚当(克雷布森安全公司的布莱恩·克雷布斯给告密者的假名)的说法，沐鸣开户测速被访问的数据比ubiiti所描述的要广泛和敏感得多。克雷布斯写道:

亚当说，实际上，攻击者已经获得了对Ubiquiti在亚马逊云服务服务器的管理访问权，这保护了底层服务器的硬件和软件，但要求云租户(客户端)安全访问存储在那里的任何数据。

“他们能够获得单点登录cookie和远程访问的密码，完整的源代码控制内容，以及签名密钥的泄露，”Adam说。

亚当说,攻击者(s)访问特权凭证以前存储在LastPass的Ubiquiti员工,并获得根管理员访问所有Ubiquiti AWS帐户,包括所有S3数据桶,所有应用程序日志,所有数据库,所有用户数据库凭证和秘密需要建立单点登录(SSO)饼干。

这样的访问可能会让入侵者远程验证世界各地无数无处不在的云设备的身份。据其网站介绍，ubiiti已经在全球200多个国家和地区销售了8500多万台设备，这些设备在网络基础设施中发挥了关键作用。

Ars高级技术编辑Lee Hutchinson在2015年审查了ubiiti的UniFi无线设备生产线，并在三年后再次审查。

在这篇文章发布后，Ubiquiti发表声明称，“自1月11日通知我们以来，我们对客户数据的分析和我们产品的安全性没有任何改变。”全文如下:

正如我们在1月11日所告知的，我们是一起网络安全事件的受害者，沐鸣开户测速该事件涉及未经授权访问我们的IT系统。鉴于布莱恩·克雷布斯的报道，人们对这个问题产生了新的兴趣和关注，我们愿意为我们的社区提供更多的信息。

首先，请注意，自1月11日通知以来，我们对客户数据的分析和我们产品的安全性没有任何改变。为了应对这一事件，我们利用外部事件响应专家进行了彻底的调查，以确保攻击者被锁定在我们的系统之外。

这些专家没有发现任何证据表明客户信息被访问，甚至没有被锁定。攻击者从未声称访问过任何客户信息，他曾试图通过威胁发布窃取的源代码和特定的IT证书来敲诈该公司，但没有成功。这一点，连同其他证据，就是为什么我们认为客户数据不是事件的目标，或以其他方式与事件有关。

在这一点上，我们有充分的证据表明犯罪者是具有复杂的云基础设施知识的个人。由于我们正在配合执法部门进行调查，我们无法进一步置评。

综上所述，作为预防措施，我们仍然鼓励您更改密码，如果您还没有这样做，包括在任何您使用相同用户ID或密码的网站上。我们还鼓励您在您的ubiiti账户上启用双因素认证，如果您还没有这样做的话。

至少，使用ubiiti设备的用户应该更改密码，并启用双因素身份验证(如果他们还没有这么做的话)。考虑到侵入ubiiti网络的入侵者可能获得了用于远程访问和签名密钥的单点登录cookie的秘密，删除与设备相关的任何配置文件也是一个好主意，确保设备使用最新的固件，然后用新的凭证重新创建配置文件。与往常一样，应该禁用远程访问，除非确实需要并由有经验的用户启用。