Nickolas Sharp, un ancien développeur senior d’Ubiquiti, a été condamné à six ans de prison pour avoir volé des données de l’entreprise, tenté d’extorquer son employeur et aidé à la publication d’articles de presse trompeurs qui ont gravement affecté la capitalisation boursière de l’entreprise.
En janvier 2021, le fabricant d’appareils réseau Ubiquiti a annoncé qu’il avait subi une violation de données chez un fournisseur de cloud tiers en décembre 2020, informant tous ses clients qu’ils devaient réinitialiser leurs mots de passe et activer 2FA sur leurs comptes.
Alors qu’il travaillait prétendument dans le cadre de la réponse à l’incident, le ministère de la Justice a déclaré que Sharp se faisait passer pour le pirate anonyme, exigeant qu’Ubiquity paie 50 Bitcoin (1,9 million de dollars à l’époque) pour connaître la vulnérabilité exploitée et pour que les données volées soient supprimées.
Après que l’entreprise ait refusé de payer, Sharp a contacté les médias, se faisant passer pour un lanceur d’alerte pour répandre de fausses informations sur la façon dont Ubiquity a géré l’incident de sécurité.
« Dans ces histoires, Sharp s’est identifié comme un lanceur d’alerte anonyme au sein de la société-1 [Ubiquiti] qui avait travaillé à la résolution de l’incident et a faussement affirmé que la société-1 avait été piratée par un auteur non identifié qui avait acquis par malveillance un accès administrateur root à la société-1. comptes AWS », lit-on dans l’annonce du DoJ américain.
« En fait, comme Sharp le savait bien, Sharp lui-même avait pris les données de la société-1 en utilisant les informations d’identification auxquelles il avait accès, et Sharp avait utilisé ces données dans une tentative infructueuse d’extorquer la société-1 pour des millions de dollars. »
Le DOJ affirme que la diffusion de fausses informations a entraîné une chute du cours de l’action d’Ubiquiti d’environ 20 %, ce qui correspond à des pertes de capitalisation boursière de plus de 4 milliards de dollars.
Les preuves ont conduit à Sharp
En décembre 2021, Sharp a été arrêté et accusé de vol de données et d’extorsion après que des enquêtes internes aient montré qu’il avait utilisé ses privilèges pour exfiltrer les données des clients des systèmes de son employeur.
Alors que le développeur malhonnête avait effacé ses traces des journaux dans les systèmes de l’entreprise et utilisé Surfshark VPN pour cacher son adresse IP pendant l’attaque, une panne Internet temporaire a perturbé la connexion du tunnel crypté et a brièvement exposé sa position.
En février 2023, après que Sharp ait tenté à plusieurs reprises d’induire en erreur les enquêteurs du FBI, l’ancien employé d’Ubiquiti a plaidé coupable à un chef d’accusation de transmission d’un programme à un ordinateur protégé qui a intentionnellement causé des dommages, un chef de fraude électronique et un chef de fausses déclarations au FBI.
Bien que les accusations puissent entraîner une peine maximale de 37 ans de prison, le tribunal du district sud de New York a décidé de condamner Sharp à 6 ans de prison, trois ans de liberté surveillée et a ordonné le paiement d’une restitution de 1 590 487 $.