Ubiquiti

ユビキティの元従業員で、ネットワーク デバイス メーカーのクラウド チームを管理していたニコラス シャープは、今日、ユビキティのネットワークから数ギガバイト相当のファイルを盗み、匿名のハッカーおよび内部告発者を装いながら雇用主を強要しようとした罪を認めました。

「ニコラス・シャープの会社は、彼が身代金のために悪用し、保持していた機密情報を彼に委ねた」と、ダミアン・ウィリアムズ連邦検事は木曜日に述べた.

「シャープが身代金の要求を与えられなかったとき、彼は会社に関する虚偽のニュース記事を公開することで報復し、その結果、彼の会社の時価総額は40億ドル以上急落しました。」

シャープは、2021 年 12 月 1 日にデータ盗難と恐喝未遂で逮捕され、起訴されました。

株価下落後の数十億ドルの損失

Ubiquiti は、2021 年 1 月にシャープのデータ盗難に続くセキュリティ インシデントを公開しました。事件の範囲を評価し、会社のクラウド リーダーとしてセキュリティ侵害の影響を修復するために取り組んでいる間、被告は匿名のハッカーを装って Ubiquiti を強要しようとしました。

身代金メモは、ネットワークの侵害に使用された脆弱性を明らかにし、盗まれたファイルを返すことと引き換えに、50 ビットコイン (当時約 190 万ドル) を要求しました。

Ubiquiti は支払いを拒否し、代わりにすべての従業員の資格情報を変更し、システムから 2 つ目のバックドアを発見して無効にし、1 月 11 日にセキュリティ侵害の通知を発行しました。

恐喝の試みが失敗した後、シャープは内部告発者のふりをしながら事件に関する情報をメディアと共有し、ユビキティが違反を軽視していると非難した.

その結果、 ユビキティの株価はほぼ 20% 下落し、時価総額で 40 億ドル以上の経済的損失をもたらしました。

4 月 1 日、同社は 1 月の情報漏えいに続いて恐喝の試みの標的にされていることを確認しましたが、シャープが (内部告発者として) ユビキティの声明に異議を唱え、事件の影響は甚大であると述べた後、顧客アカウントが影響を受けたという兆候はありませんでした。

シャープはまた、ユビキティにはシステムやデータが「攻撃者」によってアクセスされたことを確認するのを防ぐロギング システムがなかったと主張しました。しかし、彼の主張は、彼が会社のログ記録システムを改ざんしたという司法省の情報と一致しています。

DOJ は、この事件に関する起訴状またはプレスリリースでシャープの雇用主の名前をまだ挙げていませんが、詳細は、シャープの LinkedIn アカウントおよびユビキティ侵害に関する以前の情報と完全に一致しています。

インターネットの停止により暴露

起訴状 [ PDF ] によると、シャープはクラウド管理者の資格情報を使用して Ubiquiti の AWS インフラストラクチャ (2020 年 12 月 10 日) と GitHub リポジトリ (2020 年 12 月 21 日と 22 日) から機密ファイルを盗み、SSH 経由で数百のリポジトリを複製しました。

データを盗みながら、Surfshark VPN サービスを使用して自宅の IP アドレスを隠そうとしましたが、一時的なインターネットの停止の後、彼の場所が公開されました。

悪意のある活動を隠蔽するためのさらなる取り組みとして、シャープはユビキティのサーバーやその他のファイルのログ保持ポリシーも変更し、事件の調査中に彼の身元が明らかになった.

「とりわけ、SHARP は AWS の特定のログに 1 日ライフサイクル保持ポリシーを適用しました。これにより、侵入者の活動の特定の証拠を 1 日以内に削除する効果がありました」と裁判所の文書は読みました。

有罪判決が下された場合、シャープの罪状には最高で 37 年の禁固刑が言い渡されます。彼は 5 月 10 日に米国地方裁判所のキャサリン・ポーク・ファイラ判事によって判決を言い渡される予定です。