Tunnettu verkkolaitevalmistaja Ubiquiti käyttäytyy kuin keskellä maantietä auton valoihin joutunut metsän elukka. Sitä on kohdannut katastrofaaliseksi luonnehdittu tietomurto tai varkaus, mutta yhtiön tiedottamisstrategia on ollut vähintäänkin kyseenalainen.

Ubiquiti tiedotti tammikuussa vähäisestä tietoturvaloukkauksesta, jonka se sanoi liittyvän ulkopuoliseen pilvipalvelujen toimittajaan. Ilmeisesti joku yhtiön työntekijöistä ei ollut lainkaan tyytyväinen tapaan, jolla tapaus pyrittiin lakaisemaan maton alle. Yksityiskohtaiset tiedot vuodettiin tietoturvatutkija Brian Krebsille, joka julkaisi ne KrebsOnSecurity-sivullaan.

Todellisuudessa hyökkääjät olivat saaneet täyden pääsyn Amazonin pilvessä oleville Ubiquitin palvelimille. Tätä kautta hyökkäyksille alttiiksi tulivat asiakkaiden verkkolaitteet, jos niiden hallinta oli säädetty hoidettavaksi valmistajan pilvipalvelujen kautta. Joillakin laitteilla tämä on pakollista.

Ubiquity valmistaa langallisia ja langattomia verkkolaitteilta niin yrityksille kuin kuluttajakäyttöön.

Paljastuksen mukaan reitti hyökkääjille avautui siten, että pilvipalvelimen pääkäyttäjän kirjautumistiedot oli talletettu Ubiquitin työntekijän LastPass-tilille. Krebsin tietolähde sanoi, että yhtiön lakiosasto olisi estänyt tarkkojen tietojen julkaisemisen tietoturvaloukkauksesta.

Krebin julkaistua sisäpiiristä kuulemansa tiedot asiasta nousi luonnollisesti melkoinen äläkkä, johon Ubiquiti on joutunut lopulta reagoimaan, The Verge kirjoittaa.

Ensin yhtiö pysytteli hiljaa kuin hiiri vuorokauden verran, mutta julkaisi sitten asiasta tiedotteen, jossa ei kiistetä Krebsin julkaisemia tietoja. Verge pitää tiedotetta silti yhä turhan salamyhkäisenä.

Reilua on se, että syytä tapahtuneesta ei enää yritetä sysiä ”ulkopuolisen pilvikumppanin” harteille. Monet kiusalliset paljastukset jätetään silti yhä vahvistamatta, eikä kantaa oteta siihen, miksi asiasta annettiin aluksi väärää tietoa.

Ubiquiti sanoo, ettei ole mitään todisteita siitä, että hyökkääjä olisi tavoitellut asiakkaiden dataa.