Un exempleat d’Ubiquiti ha estat condemnat a sis anys de presó després de declarar-se culpable de fer-se passar per un hacker anònim i per un denunciant en un intent d’extorquir gairebé 2 milions de dòlars en criptodivises mentre treballava a l’empresa.

Nickolas Sharp, de 37 anys, va ser arrestat el desembre del 2021 per utilitzar el seu accés privilegiat com a desenvolupador sènior per robar dades confidencials i enviar un correu electrònic anònim demanant al proveïdor de tecnologia de xarxa que pagués 50 bitcoins (uns 2 milions de dòlars) a canvi de la informació de la qual disposava.

No obstant això, Ubiquiti, no va cedir i en el seu lloc va recórrer a les forces de seguretat, que finalment van identificar a Sharp com a l’atacant després de rastrejar una connexió VPN a un compte de Surfshark comprada amb el seu compte de PayPal.

El Departament de Justícia dels Estats Units va declarar que Sharp va abusar repetidament del seu accés com administratiu per descarregar gigaoctets de dades confidencials del seu cap. També van afegir que, el culpable, va modificar els noms dels arxius de sessió per intentar fer creure que altres companys de treball eren els responsables de les seves accions malicioses.

L’acusat, establert a Oregon, a més de fer declaracions falses en les quals negava qualsevol coneixement del pla d’extorsió, va manipular les polítiques de retenció de registres i altres arxius per ocultar la seva activitat no autoritzada a la xarxa de l’empresa.

Sharp, que era empleat d’Ubiquiti des de l’agost del 2018 fins a finals de març del 2021, es va declarar culpable a principis de febrer per haver difós falsament la notícia que l’empresa havia estat hackejada per un autor no identificat que havia adquirit accés d’administrador als comptes d’AWS de la signatura.

La bretxa de seguretat inventada va portar al fet que el preu de les accions d’Ubiquiti caigués aproximadament un 20% el març del 2021, fent-li perdre més de 4.000 milions de dòlars de capitalització borsària.

Ubiquiti va revelar formalment l’incident el gener del 2021, descrivint-lo com un cas d’accés no autoritzat a alguns dels seus sistemes de tecnologia de la informació allotjats per un proveïdor de núvol de tercers. A més, va instar els usuaris a canviar les seves contrasenyes i activar l’autenticació de doble factor.

A banda de la pena de presó, Sharp ha estat condemnat a tres anys de llibertat condicional i obligat a pagar una restitució d’1.590.487 de dòlars. Altrament, se li han confiscat els béns personals utilitzats o destinats a ser emprats a aquests delictes.