Ubiquiti Networks will Sicherheitsforscher Brian Krebs verklagen
Ubiquiti Networks verklagt Brian Krebs und die Webseite Krebs on Security, wie aus der 26 Seiten umfassenden Klageschrift (PDF) hervorgeht, auf die unter anderem The Register verweist. Dem Sicherheitsforscher und Journalisten wird in dem Schriftstück vorgeworfen, Ubiquiti fälschlich eine Vertuschung (Cover Up) eines Cyberangriffs unterstellt zu haben. Außerdem wirft Ubiquiti Krebs vor, finanzielle Interessen an einer Publikation gehabt zu haben (Seite 4).
Ubiquiti spricht in der Klage zudem von "purer Fiktion" des Artikels, der die Probleme einem großen Publikum bereitstellte. Außerdem soll Krebs nach Darstellung der Klägerin vorsätzlich gehandelt haben. Unterstellt wird ferner eine Zusammenarbeit zwischen dem Whistleblower und Krebs sowie eine "Schmierkampagne", um Ubiquiti zu schaden (Seite 9). Die Lage ist allerdings äußerst kompliziert.
Der Sicherheitsvorfall fand bereits im Dezember statt und Anfang Januar hat Ubiquiti per E-Mail seine Kunden über potentielle Gefahren gewarnt und empfahl ein Ändern der Passwörter. Aufgeschreckt wurde die Community jedoch erst Ende März 2021. Krebs publizierte damals Details zu der Untersuchung mit Verweis auf einen Ubiquiti-Mitarbeiter, der mit der Lage vertraut war.
Nach der Publikation seitens Krebs hat sich auch Ubiquiti im Forum im April 2021 noch einmal geäußert. Kundendaten wurden damals nicht entwendet, so das Unternehmen. Dennoch empfahl man weiter das Ändern von Passwörtern.
Im Dezember kam heraus, dass der Angriff mutmaßlich von einem Ubiquiti-Mitarbeiter getätigt wurde, der große Mengen an Daten herunterlud. Es soll sogar einen Erpressungsversuch gegeben haben, Ubiquiti wollte aber nicht zahlen. Anschließend soll der mutmaßliche Täter als Whistleblower Informationen an Journalisten gegeben haben. Der US-Staatsanwalt Damian Williams wirft dem mutmaßlichen Täter vor, sowohl Angreifer als auch Whistleblower zu sein.
Diese Informationen führten offenbar dazu, dass Ubiquiti sich ungerecht behandelt sah. Dementsprechend hat das Unternehmen eine sogenannte Defamation Suit nach US-Recht eingereicht, also eine Verleumdungsklage. Einer der Kernpunkte, auf die sich Ubiquiti hier bezieht, ist der Umstand, dass es kein Angriff von Außen war sondern ein Angriff von Innen.
Interessanterweise bestätigt die Klageschrift allerdings einige Vorfälle, wie etwa die Existenz einer Backdoor und einen Angriff, der durch einen Mitarbeiter des Unternehmens durchgeführt wurde. Der Angriff fand also nach Ubiquiti-Darstellung statt und es wurde sogar eine zweite Backdoor gefunden. Gleichzeitig bestätigt Ubiquiti diverse Updates des Original-Artikels (Seite 16), nutzt diese allerdings als Vorwürfe, um Krebs selbst eine Vertuschung der Lage vorzuwerfen, da die Updates "vergraben" sind.
Wer sich einen Überblick über die komplexe Lage verschaffen will, dem sei folgendes Video von Crosstalk Solutions empfohlen, dass den Stand im Dezember 2021 kurz anreißt. Einige der Informationen müssen allerdings mittlerweile in einem anderen Kontext gesehen werden. Es bleibt abzuwarten, wie die jeweiligen Verfahren gegen den Angreifer, aber auch gegen den Journalisten Krebs, ausgehen werden.
Quelle(n)
Artikel von Krebs on Security und The Register via Twitter sowie Announcement von Ubiquiti (via Krebs on Security) im Januar 2021.