Un acte d'accusation du ministère de la Justice suggère que le piratage d'Ubiquiti signalé en janvier, et les allégations ultérieures de dénonciation d'une dissimulation, étaient l'œuvre de quelqu'un qui était alors un employé de l'entreprise. Le DOJ allègue que Nickolas Sharp, 36 ans, a été arrêté mercredi sur des accusations d'avoir utilisé ses informations d'identification d'employé pour télécharger des données confidentielles et envoyé des demandes anonymes à l'entreprise pour laquelle il travaillait en prétendant être un pirate informatique dans le but d'obtenir une rançon de 50 Bitcoin. . Vous pouvez lire l'acte d'accusation complet ci-dessous.
L'acte d'accusation ne nomme pas spécifiquement Ubiquiti, se référant uniquement à une “Société-1”. Cependant, tous les détails s'alignent. En janvier, Ubiquiti a envoyé un e-mail aux utilisateurs disant qu'une partie non autorisée avait accédé à ses “systèmes informatiques hébergés par un fournisseur de cloud tiers”. En mars, quelqu'un prétendant être un dénonciateur a qualifié l'incident de « catastrophique », alléguant que l'entreprise ne pouvait pas déterminer l'étendue de l'attaque car elle ne tenait pas de journaux et que l'attaquant avait accès aux services Web Amazon d'Ubiquiti ( AWS).
L'acte d'accusation indique que le système s'est effondré en raison d'un problème VPN « éphémère »
L'acte d'accusation indique que la société est basée à New York, ce qui est le cas d'Ubiquiti, et indique que le cours de l'action de la société a chuté d'environ 20 % entre le 30 et le 31 mars après l'annonce de l'incident. Selon Yahoo Finance, l'action d'Ubiquiti valait 376,78 $ le 29 mars et est tombée à 298,30 $ le 31 mars.
La plus notable est peut-être l'allégation selon laquelle Sharp s'est fait passer pour un lanceur d'alerte aux médias fin mars 2021 – au même moment où un lanceur d'alerte accusait Ubiquiti d'avoir dissimulé la gravité de la violation de données, malgré les nier que les données des utilisateurs aient été ciblées. Nous avons également consulté un profil LinkedIn qui semble appartenir à Sharp et le montre travaillant pour Ubiquiti pendant la période indiquée dans l'acte d'accusation.
Le DOJ allègue que Sharp a accédé aux comptes Amazon Web Services et Github de l'entreprise après avoir postulé pour un emploi dans une autre entreprise en décembre 2020. L'acte d'accusation indique qu'un autre employé a découvert la violation quelques jours après que Sharp a téléchargé des « gigaoctets » de données confidentielles et appliqué des politiques AWS à limiter la journalisation. Sharp aurait été affecté à l'équipe d'intervention chargée d'évaluer l'incident, et le MJ dit qu'il a utilisé cette position pour essayer d'éviter les soupçons.
Sharp aurait contacté des médias après que le FBI a perquisitionné sa maison
Selon l'acte d'accusation, Sharp a envoyé un e-mail de rançon anonyme promettant de ne pas publier les données et d'aider l'entreprise à réparer une porte dérobée s'il était payé 50 Bitcoin avant le 10 janvier 2021. Le DOJ allègue que Sharp a publié certaines des données volées alors que la société n'a pas payé la rançon.
Le DOJ dit qu'il a pu retrouver Sharp à cause d'un petit problème technique – Sharp aurait utilisé SurfShark VPN pour masquer son identité tout en prenant des données et en envoyant des e-mails, mais “dans un cas éphémère”, sa véritable IP a été identifiée et enregistrée comme connexion au GitHub de l'entreprise. Selon le DOJ, cela s'est produit lorsque l'Internet domestique de Sharp est tombé en panne, puis s'est reconnecté.
Selon l'acte d'accusation, cela a finalement conduit le FBI à exécuter un mandat de perquisition sur la maison de Sharp, où il a nié avoir utilisé SurfShark et a déclaré que quelqu'un d'autre avait utilisé son compte PayPal pour acheter l'abonnement. Dans une dernière tournure, l'acte d'accusation indique que Sharp a contacté des médias se faisant passer pour un dénonciateur après que le FBI a fouillé son domicile et saisi des appareils électroniques.
Si Sharp est reconnu coupable et que le DOJ peut prouver que l'incident s'est déroulé comme indiqué dans l'acte d'accusation, cela jettera certainement un nouvel éclairage sur les rapports du piratage d'Ubiquiti. L'acte d'accusation allègue que Sharp a lancé l'attaque en utilisant les informations d'identification qui lui avaient été fournies pour faire son travail. En mars, Ubiquiti a maintenu sa déclaration selon laquelle les attaquants n'avaient pas accédé aux données des clients, ce qui ne semble pas être contredit par les informations révélées aujourd'hui.