Ağ cihazı üreticisinin bulut ekibini yöneten eski bir Ubiquiti çalışanı olan Nickolas Sharp, bugün Ubiquiti’nin ağından gigabaytlar değerinde dosyalar çalmaktan ve anonim bir bilgisayar korsanı ve muhbir kılığına girerek işvereninden şantaj yapmaya çalışmaktan suçlu bulundu.
ABD Başsavcısı Damian Williams Perşembe günü yaptığı açıklamada, “Nickolas Sharp’ın şirketi, onun istismar ettiği ve fidye için tuttuğu gizli bilgileri ona emanet etti.”
“Yaralamaya hakaret ekleyerek, Sharp’a fidye talepleri verilmediğinde, şirket hakkında yanlış haberlerin yayınlanmasına neden olarak misilleme yaptı, bu da şirketinin piyasa değerinin 4 milyar doların üzerinde düşmesine neden oldu.”
Sharp tutuklandı ve 1 Aralık 2021’de veri hırsızlığı ve gasp girişimleriyle suçlandı.
Stok düşüşünden sonra milyarlarca dolar zarar
Ubiquiti, Sharp’ın veri hırsızlığının ardından Ocak 2021’de bir güvenlik olayını ifşa etti. Sanık, olayın kapsamını değerlendirmek ve şirketin bulut lideri olarak güvenlik ihlalinin etkilerini gidermek için çalışırken, aynı zamanda Ubiquiti’yi anonim bir bilgisayar korsanı gibi göstererek şantaj yapmaya çalıştı.
Fidye notu, ağı ihlal etmek için kullanılan güvenlik açığını ortaya çıkarmak ve çalınan dosyaları iade etmek karşılığında 50 bitcoin (o sırada yaklaşık 1,9 milyon dolar) istedi.
Ubiquiti ödemeyi reddetti ve bunun yerine tüm çalışan kimlik bilgilerini değiştirdi, sistemlerinde ikinci bir arka kapı keşfetti ve devre dışı bıraktı ve 11 Ocak’ta bir güvenlik ihlali bildirimi yayınladı.
Haraç girişimi başarısız olduktan sonra Sharp, muhbir gibi davranarak olayla ilgili bilgileri medyayla paylaştı ve Ubiquiti’yi ihlali küçümsemekle suçladı.
Sonuç olarak, Ubiquiti’nin hisse senedi fiyatı neredeyse %20 düştü ve bu da piyasa kapitalizasyonunda 4 milyar doları aşan finansal kayıplara yol açtı.
1 Nisan’da şirket, Sharp’ın (bir muhbir olarak) Ubiquiti’nin ifadesine itiraz etmesi ve olayın etkisinin çok büyük olduğunu söylemesinin ardından müşteri hesaplarının etkilendiğine dair hiçbir belirti olmaksızın Ocak ayındaki ihlali takiben bir haraç girişimi tarafından hedef alındığını doğruladı.
Sharp ayrıca Ubiquiti’nin sistemleri veya verilere “saldırgan” tarafından erişildiğini doğrulamalarını engelleyecek bir kayıt sistemine sahip olmadığını iddia etti. Bununla birlikte, iddiaları, Adalet Bakanlığı’nın şirketin kayıt sistemlerini kurcaladığına dair bilgileriyle aynı çizgide.
DOJ, iddianamede veya bu davayla ilgili basın bültenlerinde Sharp’ın işvereninin adını henüz belirtmemiş olsa da, ayrıntılar Sharp’ın LinkedIn hesabı ve Ubiquiti ihlaliyle ilgili önceki bilgilerle mükemmel bir şekilde örtüşüyor.
İnternet kesintisi nedeniyle açığa çıktı
İddianameye göre Sharp, bulut yöneticisi kimlik bilgilerini kullanarak Ubiquiti’nin AWS altyapısından (10 Aralık 2020’de) ve GitHub depolarından (21 ve 22 Aralık 2020’de) gizli dosyalar çaldı ve SSH üzerinden yüzlerce depoyu klonladı. [PDF].
Verileri çalarken, Surfshark VPN hizmetini kullanarak ev IP adresini gizlemeye çalıştı, ancak geçici bir İnternet kesintisinden sonra konumu açığa çıktı.
Sharp, kötü niyetli faaliyetini gizlemek için ek çabalar içinde, Ubiquiti’nin sunucularında ve olay soruşturması sırasında kimliğini açığa çıkarabilecek diğer dosyalarda günlük tutma politikalarını da değiştirdi.
Mahkeme belgelerinde, “Diğer şeylerin yanı sıra SHARP, AWS’deki belirli günlüklere bir günlük yaşam döngüsü saklama ilkeleri uyguladı; bu, davetsiz misafirin etkinliğine ilişkin belirli kanıtları bir gün içinde silme etkisine sahip olacaktı.”
Sharp’ın suçlamaları, suçlu bulunması halinde en fazla 37 yıl hapis cezası gerektiriyor. ABD Bölge Yargıcı Katherine Polk Failla tarafından 10 Mayıs’ta mahkum edilmesi planlanıyor.