近日，專業(yè)消費(fèi)級(jí)路由器廠商Ubiquiti被指掩蓋一個(gè)“災(zāi)難性”的安全漏洞。事件發(fā)生24小時(shí)之后，該公司發(fā)表聲明，并沒有否認(rèn)該事件。

[[391173]]

Ubiquiti表示，在2021年1月份發(fā)給“第三方云提供商”的公開信中，發(fā)現(xiàn)了一個(gè)輕微的安全漏洞。不過，KrebsOnSecurity 報(bào)道稱，該漏洞實(shí)際遠(yuǎn)比Ubiquiti描述的更加嚴(yán)重。一位來自該公司的舉報(bào)人向 Krebs 透露，Ubiquiti 本身也被黑客入侵，只不過該公司的法律團(tuán)隊(duì)阻止了向客戶準(zhǔn)確報(bào)告危險(xiǎn)的努力。

黑客獲得了對(duì)公司 AWS 服務(wù)器的完全訪問權(quán)，因?yàn)閾?jù)稱 Ubiquiti 在 LastPass 賬戶中留下了根管理員的登錄信息，黑客可能已經(jīng)能夠訪問客戶通過公司的云服務(wù)設(shè)置控制的任何 Ubiquiti 網(wǎng)絡(luò)設(shè)備。

消息人士告訴 Krebs：“他們能夠獲得單點(diǎn)登錄cookie和遠(yuǎn)程訪問的密碼學(xué)秘密，完整的源代碼控制內(nèi)容，以及簽名密鑰”。而 Ubiquiti 今天晚上終于發(fā)表聲明時(shí)，公司依然在強(qiáng)調(diào)目前沒有任何證據(jù)表明用戶數(shù)據(jù)被訪問或者被盜。

但正如 Krebs 所指出的那樣，舉報(bào)人明確表示，該公司并沒有保留日志，而這些日志可以作為該證據(jù)，說明誰做了或沒有訪問被黑的服務(wù)器。Ubiquiti 的聲明還證實(shí)，黑客確實(shí)試圖向其勒索錢財(cái)，但并沒有涉及掩蓋事實(shí)的指控。