¿Lo que acaba de suceder? Nickolas Sharp, un ex empleado de Ubiquiti que supervisó el equipo de nube de la empresa, confesó haber robado gigabytes de datos privados de la purple de la empresa bajo la apariencia de un hacker anónimo y un denunciante. Sharp, un ingeniero de software program de 36 años de Portland, Oregón, está acusado de robar gigabytes de datos confidenciales de los repositorios de GitHub y los servidores de AWS de Ubiquiti en diciembre de 2020.
Afilado culpable a tres cargos: hacer declaraciones falsas al FBI, fraude electrónico y transmitir deliberadamente un programa malicioso a una computadora protegida. La pena máxima por cada uno de estos delitos es de 35 años de prisión.
Ubiquiti informó un incidente de seguridad en enero de 2021 luego del incidente de robo de datos. Sharp, mientras se hacía pasar por un hacker anónimo, trató de extorsionar a la empresa. La nota de rescate exigía 50 bitcoins, que, en ese momento, equivalía a aproximadamente 1,9 millones de dólares, a cambio de recuperar los datos y revelar la debilidad de la purple que había permitido el hackeo. Sin embargo, en lugar de pagar el rescate, Ubiquiti optó por actualizar la información de inicio de sesión de cada empleado. Además, la empresa encontró y eliminó una segunda puerta trasera en sus sistemas, antes de informar una brecha de seguridad el 11 de diciembre.
“La empresa de Nickolas Sharp le confió información confidencial que explotó y retuvo para pedir rescate”, dijo el fiscal federal Damian Williams.
“Para colmo de males, cuando Sharp no recibió sus demandas de rescate, tomó represalias al hacer que se publicaran noticias falsas sobre la compañía, lo que provocó que la capitalización de mercado de su compañía cayera en picado en más de $ 4 mil millones”.
Afilado usado sus credenciales de administrador de la nube para clonar cientos de repositorios a través de SSH y robar archivos privados de la infraestructura AWS de Ubiquiti (el 10 de diciembre de 2020) y los repositorios de GitHub (el 21 y 22 de diciembre).
Intentó ocultar la dirección IP de su hogar mientras recopilaba los datos mediante el servicio Surfshark VPN, pero su ubicación fue descubierta luego de una breve interrupción de Web. Además, también modificó las reglas de retención de registros en los servidores de Ubiquiti y otros datos que habrían revelado su identidad durante la investigación.
El FBI registró la residencia de Nicholas Sharp el 24 de marzo de 2021 y confiscó su equipo electrónico. Cuando lo interrogaron, les dio a los funcionarios del FBI varias declaraciones falsas, entre ellas, que él no period el perpetrador y que nunca antes había usado esa VPN. Los registros que demuestran que Sharp compró el servicio Surfshark VPN en julio de 2020, unos seis meses antes del incidente, lo llevaron a realizar la acusación fraudulenta de que otra persona debió haber accedido a su cuenta de PayPal para completar la transacción.
Sharp, fingiendo ser un denunciante, acusó a Ubiquiti de minimizar la violación en una entrevista con los medios después de que fracasara el intento de extorsión. Después de que desafió la afirmación de Ubiquiti y afirmó que el impacto del incidente fue significativo, la compañía reconoció el 1 de abril que fue objeto de un intento de extorsión luego del ataque de enero sin indicios de que las cuentas de los usuarios se vieron afectadas.
Además, afirmó que Ubiquiti carecía de un mecanismo de registro que les hubiera prohibido determinar si el “atacante” había accedido a algún sistema o dato. Sin embargo, sus afirmaciones son consistentes con la información del Departamento de Justicia de que manipuló los sistemas de registro de la empresa.
