Un ancien employé d’Ubiquiti a été condamné à six ans de prison après avoir plaidé coupable de s’être fait passer pour un pirate informatique anonyme et un lanceur d’alerte dans le but d’extorquer près de 2 millions de dollars de crypto-monnaie alors qu’il travaillait dans l’entreprise.
Nickolas Sharp, 37 ans, a été arrêté en décembre 2021 pour avoir utilisé son accès privilégié en tant que développeur senior pour voler des données confidentielles et avoir envoyé un e-mail anonyme demandant au fournisseur de technologie réseau de payer 50 bitcoins (environ 2 millions de dollars à l’époque) en échange du siphonné information.
Ubiquiti, cependant, n’a pas cédé à la tentative de rançon et a plutôt fait une boucle dans les forces de l’ordre, qui ont finalement identifié Sharp comme le pirate informatique après avoir tracé une connexion VPN à un compte Surfshark acheté avec son compte PayPal.
« Sharp a abusé à plusieurs reprises de son accès administratif pour télécharger des gigaoctets de données confidentielles de son employeur », a déclaré le ministère américain de la Justice, ajoutant qu’il « avait modifié les noms des fichiers de session pour tenter de faire croire que d’autres collègues étaient responsables de ses sessions malveillantes ».
L’accusé basé dans l’Oregon, en plus de faire de fausses déclarations niant toute connaissance du stratagème d’extorsion, a altéré les politiques de conservation des journaux et d’autres noms de fichiers de session afin de dissimuler son activité non autorisée sur le réseau de l’entreprise.
Sharp, qui a travaillé chez Ubiquiti d’août 2018 à fin mars 2021, a plaidé coupable plus tôt en février pour avoir faussement diffusé la nouvelle selon laquelle l’entreprise avait été piratée par un auteur non identifié qui avait acquis un accès administrateur aux comptes AWS de l’entreprise.
Apprenez à arrêter les ransomwares avec une protection en temps réel
Rejoignez notre webinaire et découvrez comment arrêter les attaques de ransomwares dans leur élan grâce à la MFA en temps réel et à la protection des comptes de service.
La faille de sécurité fabriquée a fait chuter le cours de l’action d’Ubiquiti d’environ 20 % en mars 2021, lui faisant perdre plus de 4 milliards de dollars de capitalisation boursière.
En plus de la peine de prison, Sharp a été « condamné à trois ans de liberté surveillée et condamné à payer une restitution de 1 590 487 $ et à confisquer les biens personnels utilisés ou destinés à être utilisés en relation avec ces infractions ».