Eine Anklageschrift des Justizministeriums deutet darauf hin, dass der im Januar gemeldete Ubiquiti-Hack und die nachfolgenden Whistleblower-Vorwürfe einer Vertuschung das Werk eines damaligen Mitarbeiters des Unternehmens waren. Das DOJ behauptet, dass Nickolas Sharp, 36, am Mittwoch festgenommen wurde, weil er beschuldigt wurde, seine Mitarbeiterzugangsdaten verwendet zu haben, um vertrauliche Daten herunterzuladen, und anonyme Anfragen an das Unternehmen geschickt, für das er arbeitete, um sich als Hacker auszugeben, um ein Lösegeld von 50 Bitcoin zu erhalten . Sie können die vollständige Anklageschrift unten lesen.
Die Anklageschrift nennt Ubiquiti nicht speziell, sondern bezieht sich nur auf ein “Unternehmen-1”. Alle Details stimmen jedoch überein. Im Januar schickte Ubiquiti eine E-Mail an Benutzer, in der es hieß, eine nicht autorisierte Partei habe auf ihre „Informationstechnologiesysteme, die von einem Drittanbieter-Cloud-Anbieter gehostet werden“, zugegriffen. Im März bezeichnete jemand, der behauptete, ein Whistleblower zu sein, den Vorfall als „katastrophal“ und behauptete, dass das Unternehmen das volle Ausmaß des Angriffs nicht erkennen konnte, weil es keine Protokolle führte und dass der Angreifer Zugriff auf die Amazon Web Services von Ubiquiti hatte ( AWS)-Servern.
In der Anklageschrift heißt es, dass das Schema aufgrund eines “flüchtigen” VPN-Schluckels zusammengebrochen ist
In der Anklageschrift heißt es, das Unternehmen habe seinen Sitz in New York, dem Ubiquiti, und der Aktienkurs des Unternehmens sei zwischen dem 30. März und dem 31. März um rund 20 Prozent gefallen, nachdem die Nachricht von dem Vorfall bekannt wurde. Laut Yahoo Finance war die Aktie von Ubiquiti am 29. März 376,78 USD wert und fiel bis zum 31. März auf 298,30 USD.
Am bemerkenswertesten ist vielleicht die Behauptung, Sharp habe sich Ende März 2021 gegenüber Medien als Whistleblower ausgegeben – zur gleichen Zeit beschuldigte ein Whistleblower Ubiquiti, die Schwere der Datenschutzverletzung zu vertuschen, trotz der Leugnung, dass Benutzerdaten gezielt wurden. Wir haben uns auch ein LinkedIn-Profil angesehen, das Sharp zu gehören scheint und zeigt, dass er während des in der Anklageschrift aufgeführten Zeitraums für Ubiquiti arbeitete.
Das DOJ behauptet, Sharp habe auf die Amazon Web Services- und Github-Konten des Unternehmens zugegriffen, nachdem er sich im Dezember 2020 bei einem anderen Unternehmen beworben hatte. In der Anklageschrift heißt es, dass ein anderer Mitarbeiter den Verstoß Tage entdeckte, nachdem Sharp „Gigabyte“ vertraulicher Daten heruntergeladen und AWS-Richtlinien angewendet hatte Protokollierung begrenzen. Sharp wurde angeblich dem Reaktionsteam zugeteilt, das den Vorfall untersuchen sollte, und das DOJ sagt, er habe diese Position genutzt, um Verdacht zu vermeiden.
Sharp soll sich an die Medien gewandt haben, nachdem das FBI sein Haus durchsucht hatte
Laut Anklageschrift schickte Sharp eine anonyme Lösegeld-E-Mail, in der er versprach, die Daten nicht zu veröffentlichen und dem Unternehmen zu helfen, eine Hintertür zu reparieren, wenn er 50 Bitcoin erhält bis zum 10. Januar 2021. Das DOJ behauptet, dass Sharp einige der gestohlenen Daten freigegeben hat, als das Unternehmen das Lösegeld nicht bezahlt hat.
Das DOJ sagt, dass es Sharp aufgrund eines winzigen technischen Fehlers ausfindig machen konnte – Sharp hat angeblich SurfShark VPN verwendet, um seine Identität beim Aufnehmen von Daten und beim Senden von E-Mails zu maskieren, aber „in einem flüchtigen Fall“ wurde seine echte IP identifiziert und protokolliert als Verbindung zum GitHub des Unternehmens. Nach Angaben des DOJ geschah dies, als Sharps Internet zu Hause ausfiel und dann wieder verbunden wurde.
Laut Anklage führte dies schließlich dazu, dass das FBI einen Durchsuchungsbefehl in Sharps Haus erließ, wo dieser die Nutzung von SurfShark bestritt und sagte, dass jemand anderes sein PayPal-Konto zum Kauf des Abonnements verwendet habe. In einer letzten Wendung heißt es in der Anklageschrift, dass Sharp Medien kontaktiert hat, die sich als Whistleblower ausgeben, nachdem das FBI sein Haus durchsucht und elektronische Geräte beschlagnahmt hatte.
Wenn Sharp für schuldig befunden wird und das DOJ beweisen kann dass sich der Vorfall wie in der Anklageschrift dargelegt abgespielt hat, wird dies sicherlich ein neues Licht auf die Berichte über den Ubiquiti-Hack werfen. Die Anklageschrift behauptet, Sharp habe den Angriff mit den Zugangsdaten gestartet, die er für seine Arbeit erhalten hatte. Im März hielt Ubiquiti an seiner Aussage fest, dass Angreifer nicht auf Kundendaten zugegriffen hätten, was durch die heute bekannt gegebenen Informationen nicht zu widerlegen scheint.