Un ex dipendente di Ubiquiti è stato condannato a sei anni di carcere dopo aver dichiarato colpevole di fingere di essere un hacker anonimo e un informatore per estorcere quasi 2 milioni di dollari in criptovalute mentre lavorava presso l’azienda.
Chi è l’imputato e che legame che aveva con Ubiquiti
Nickolas Sharp, 37 anni, è stato arrestato nel dicembre 2021 per aver utilizzato il suo accesso privilegiato come sviluppatore senior per rubare dati confidenziali e inviare una email anonima chiedendo al fornitore di tecnologia di rete di pagare 50 bitcoin (circa 2 milioni di dollari all’epoca) in cambio delle informazioni sottratte.
Ubiquiti, tuttavia, non ha ceduto al ricatto e ha coinvolto le forze dell’ordine, che alla fine hanno identificato Sharp come l’hacker dopo aver tracciato una connessione VPN a un account Surfshark acquistato con il suo account PayPal.
“Sharp ha ripetutamente abusato del suo accesso amministrativo per scaricare gigabyte di dati confidenziali dal suo datore di lavoro“, ha dichiarato il Dipartimento di Giustizia degli Stati Uniti, aggiungendo che “ha modificato i nomi dei file di sessione per cercare di far sembrare che altri colleghi fossero responsabili delle sue sessioni malevole“.
L’imputato, con sede nell’Oregon, oltre a rilasciare false dichiarazioni negando di avere conoscenza dello schema di estorsione, ha manomesso le politiche di conservazione dei log e altri file al fine di nascondere la sua attività non autorizzata sulla rete dell’azienda.
Sharp, impiegato presso Ubiquiti da agosto 2018 fino alla fine di marzo 2021, ha dichiarato colpevole lo scorso febbraio di diffondere falsamente la notizia che l’azienda era stata hackerata da un autore non identificato che aveva acquisito l’accesso amministrativo agli account AWS dell’azienda.
La presunta violazione della sicurezza ha portato al calo del prezzo delle azioni di Ubiquiti di circa il 20% nel marzo 2021, causando una perdita di oltre 4 miliardi di dollari di capitalizzazione di mercato.
Ubiquiti ha ufficialmente comunicato l'”incidente” nel gennaio 2021, descrivendolo come un caso di “accesso non autorizzato a determinati sistemi informatici ospitati da un provider di cloud di terze parti“; ha inoltre invitato gli utenti a cambiare le loro password e ad abilitare l’autenticazione a due fattori.
Oltre alla condanna, Sharp è stato “condannato a tre anni di libertà vigilata e ordinato di risarcire 1.590.487 dollari e di confiscare i beni personali utilizzati o destinati all’uso in relazione a questi reati“.
