Nickolas Sharp, um ex-desenvolvedor sênior da Ubiquiti, foi condenado a seis anos de prisão por roubar dados da empresa, tentar extorquir o empregador e ajudar na publicação de artigos enganosos que impactaram severamente a capitalização de mercado da empresa.
Em janeiro de 2021, o fabricante de dispositivos de rede Ubiquiti anunciou que sofreu uma violação de dados em um provedor de nuvem de terceiros em dezembro de 2020, informando a todos os seus clientes que precisavam redefinir suas senhas e habilitar a autenticação de dois fatores em suas contas.
Enquanto supostamente trabalhava como parte da resposta ao incidente, o Departamento de Justiça diz que Sharp se passou pelo hacker anônimo, exigindo que a Ubiquiti pagasse 50 bitcoins (US $1,9 milhão na época) para saber da vulnerabilidade explorada e para que os dados roubados fossem excluídos.
Depois que a empresa se recusou a pagar, Sharp entrou em contato com a mídia, se apresentando como um denunciante para divulgar informações falsas sobre como a Ubiquiti lidou com o incidente de segurança.
"Nessas histórias, Sharp se identificou como um denunciante anônimo dentro da Empresa-1 [Ubiquiti] que trabalhou na remediação do incidente e falsamente afirmou que a Empresa-1 foi hackeada por um perpetrador não identificado que adquiriu maliciosamente acesso de administrador raiz às contas da AWS da Empresa-1", diz o anúncio do Departamento de Justiça dos EUA.
"Na verdade, como Sharp bem sabia, ele próprio havia tomado os dados da Empresa-1 usando credenciais às quais tinha acesso, e Sharp havia usado esses dados em uma tentativa fracassada de extorquir a Empresa-1 por milhões de dólares."
O Departamento de Justiça diz que a disseminação de informações falsas resultou na queda do preço das ações da Ubiquiti em cerca de 20%, correspondendo a perdas de capitalização de mercado de mais de US $4 bilhões.
Em dezembro de 2021, Sharp foi preso e acusado de roubo de dados e extorsão depois que investigações internas mostraram que ele usou seus privilégios para exfiltrar dados de clientes dos sistemas de seu empregador.
Embora o desenvolvedor desonesto tenha apagado seus rastros dos registros nos sistemas da empresa e usado o Surfshark VPN para ocultar seu endereço IP durante o ataque, uma interrupção temporária da internet interrompeu a conexão do túnel criptografado e expôs brevemente sua localização.
Em fevereiro de 2023, depois que Sharp tentou repetidamente enganar os investigadores do FBI, o ex-funcionário da Ubiquiti se declarou culpado de uma acusação de transmissão de um programa a um computador protegido que causou intencionalmente danos, uma acusação de fraude eletrônica e uma acusação de fazer declarações falsas ao FBI.
Embora as acusações pudessem incorrer em uma sentença máxima de 37 anos de prisão, o Tribunal do Distrito Sul de Nova York decidiu condenar Sharp a seis anos de prisão, três anos de liberdade condicional e ordenou o pagamento de restituição de US $1.590.487.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...