Yönetişim ve Risk Yönetimi , İçeriden Gelen Tehdit
37 yaşındaki Nickolas Sharp da Tazminat Olarak 1,6 Milyon Dolar Ödemeli
David Perera (@daveperera) •
10 Mayıs 2023
Ubiquity’nin eski bir çalışanı olan ve içeriden bilgi korsanlığı yapmaktan suçunu kabul eden Nickolas Sharp, Çarşamba günü altı yıl hapis cezasına çarptırıldı.
Ayrıca bakınız: 2022 Ünite 42 Olay Müdahale Raporu
37 yaşındaki Sharp’ın da 1,6 milyon dolar tazminat ödemesi gerekiyor. 2 Şubat’ta, korunan bir bilgisayara kasıtlı olarak hasara neden olan bir program iletmek de dahil olmak üzere üç suçtan suçunu kabul etti (bkz:: Ubiquiti Insider Hacker Suçunu Kabul Etti).
Ceza, savcılar tarafından talep edilen sekiz ila 10 yıldan az, ancak savunma avukatlarının talep ettiği bir yıllık ev hapsinden önemli ölçüde fazladır.
Sharp, 2020’nin sonlarında ve 2021’in başlarında gigabaytlarca gizli şirket verisi indirdi, izlerini örtmek için günlükleri değiştirdi ve 50 bitcoin talep eden isimsiz bir fidye notu gönderdi – tüm bunlar olayı düzeltmekle görevli ekip üzerinde çalışırken. Ocak 2021’de gönderdiği sırada haraç talebi 1,9 milyon dolardı.
“Nickolas Sharp, işverenini güvende tutmaya yardımcı olması için yılda yaklaşık çeyrek milyon dolar alıyordu. ABD’nin New York Güney Bölgesi Başsavcısı Damian Williams, “Bu güveni suistimal etti” dedi. “Sharp, şimdi duygusuz suçlarından dolayı ciddi cezalarla karşı karşıya.”
FBI, Mart 2021’de Sharp’ın Portland, Oregon’daki evine baskın düzenledikten sonra, bir yığın dosyayla halka açıldı ve medyaya ihlalin kapsamını abartan yanlış hikayeler yerleştirerek Ubiquiti’nin hisselerinin düşmesine neden oldu. Savcılar, Ubiquiti’nin hisse fiyatının Mart ayının son iki gününde %20 düşerek şirketin piyasa değerinde 4 milyar dolardan fazla kaybetmesine neden olduğunu söylüyor.
Sharp, savunma anlaşmasına göre korunan bir bilgisayara kasten zarar verme, telgraf dolandırıcılığı ve FBI’a yanlış beyanda bulunma suçlarını kabul etti.
Sharp’ın avukatları 26 Nisan tarihli bir ceza notunda, içeriden öğrenenlerin hacklenmesi olayının Ubiquiti’de devam eden güvenlik sorunlarını vurgulamak için yanlış anlaşılan bir girişim olduğunu söyledi. “Krebs’e bu tür güvensiz sistemler hakkında makaleler hazırlamak ve şirketin birkaç kez işaret ettiği şeye nihayet dikkat etmesi için gönülsüz bir şekilde şirketten şantaj yapmaya çalışmak” gerçek niyetiydi, diye yazdılar.
“Krebs”, Sharp tarafından sağlanan bilgilere dayanarak kendi web sitesinde makaleler yayınlayan ve kendisini şirket muhbiri olarak tanıtan siber güvenlik Brian Krebs’e bir göndermedir. Krebs nihayetinde makaleleri geri çekti ve 2022’de Ubiquiti tarafından iftira iddiasıyla açılan bir davayı karara bağladı (bkz:: Kiralık: Eski Ubiquiti Geliştiricisi Haraçla Suçlandı).
Savcılar, ceza notlarında Sharp’ın güvenlik açıklarını sergileme arzusuyla hareket ettiği konusunda hemfikir değillerdi. “Üçüncü taraflara açık bir güvenlik açığını hedefleyen bir bilgisayar korsanı olmaktan çok uzak olan Sharp, verileri çalmak ve izlerini örtmek için şirket tarafından kendisine yasal olarak emanet edilen kimlik bilgilerini kullandı” diye yazdılar.
“Sharp’ın şirketin uzun vadeli başarısıyla hiçbir ilgisi yoktu. [Ubiquiti] – zaten şirketten ayrılmayı planlıyordu ve amacının canını yakmak olduğu açıktı. [Ubiquiti]eski iş arkadaşlarını ve amirlerini utandırmak ve şirketten çıkarken işlediği suçlardan kâr elde etmek” ifadeleri kullanıldı.