Ubiquiti’nin eski bir kıdemli geliştiricisi olan Nickolas Sharp, şirket verilerini çalmaktan, işvereninden şantaj yapmaya çalışmaktan ve firmanın piyasa değerini ciddi şekilde etkileyen yanıltıcı haber makalelerinin yayınlanmasına yardım etmekten altı yıl hapis cezasına çarptırıldı.
Ocak 2021’de ağ cihazı üreticisi Ubiquiti, Aralık 2020’de üçüncü taraf bir bulut sağlayıcısında veri ihlali yaşadığını duyurdu ve tüm müşterilerine şifrelerini sıfırlamaları ve hesaplarında 2FA’yı etkinleştirmeleri gerektiğini bildirdi.
Olaya müdahalenin bir parçası olarak çalıştığı iddia edilen Adalet Bakanlığı, Sharp’ın anonim bilgisayar korsanı kılığına girdiğini ve Ubiquity’den yararlanılan güvenlik açığını öğrenmek ve çalınan verilerin silinmesi için 50 Bitcoin (o sırada 1,9 milyon dolar) ödemesini talep ettiğini söyledi.
Şirket ödemeyi reddettikten sonra Sharp, Ubiquity’nin güvenlik olayını nasıl ele aldığına dair yanlış bilgi yaymak için muhbir kılığında medyayla temasa geçti.
“Bu hikayelerde Sharp, kendisini Şirket-1’de isimsiz bir muhbir olarak tanımladı. [Ubiquiti] ABD DoJ duyurusunda, olayı düzeltmek için çalışan ve Şirket-1’in AWS hesaplarına kötü niyetli bir şekilde kök yönetici erişimi sağlayan kimliği belirsiz bir fail tarafından saldırıya uğradığını iddia eden yanlış bir iddiada bulunulduğu belirtildi.
“Aslında, Sharp’ın çok iyi bildiği gibi, Sharp, Şirket-1’in verilerini erişimine sahip olduğu kimlik bilgilerini kullanarak kendisi almıştı ve Sharp bu verileri, Şirket-1’i milyonlarca dolar için şantaj yapmak için başarısız bir girişimde kullanmıştı.”
DOJ, yanlış bilgilerin yayılmasının Ubiquiti’nin hisse fiyatının yaklaşık %20 düşmesine neden olduğunu ve bunun da 4 milyar doları aşan piyasa değeri kayıplarına karşılık geldiğini söylüyor.
Kanıtlar Sharp’a yol açtı
Aralık 2021’de Sharp tutuklandı ve dahili soruşturmalar ayrıcalıklarını müşteri verilerini işvereninin sistemlerinden sızdırmak için kullandığını gösterdikten sonra veri hırsızlığı ve şantajla suçlandı.
Sahte geliştirici, saldırı sırasında şirketin sistemlerindeki günlüklerden izlerini temizleyip IP’sini gizlemek için Surfshark VPN kullanırken, geçici bir internet kesintisi şifreli tünel bağlantısını bozdu ve kısa bir süre için konumunu açığa çıkardı.
Şubat 2023’te Sharp, FBI müfettişlerini defalarca yanlış yönlendirmeye çalıştıktan sonra, eski Ubiquiti çalışanı, korumalı bir bilgisayara kasıtlı olarak hasara neden olan bir program iletmekten, bir kez telsiz dolandırıcılığından ve bir kez de yanlış beyanda bulunmaktan suçunu kabul etti. FBI.
Suçlamalar en fazla 37 yıl hapis cezasına çarptırılabilecek olsa da, New York Güney Bölge Mahkemesi Sharp’ı 6 yıl hapis, üç yıl denetimli serbestlik cezasına çarptırdı ve 1.590.487 $ tazminat ödenmesine karar verdi.