O hack da Ubiquiti no ano passado acabou sendo extorsão de um funcionário – ele foi preso

Em janeiro de 2021, o desenvolvedor de rede Ubiquiti relatou uma violação de dados do cliente como resultado de uma plataforma de nuvem de terceiros hackeada. Em março, um dos funcionários da empresa disse que a escala do incidente foi significativamente subnotificada e que as acusações contra o provedor de nuvem foram fabricadas. Este mesmo funcionário foi preso na última quarta-feira sob a acusação de roubo de dados e tentativa de extorsão de seu empregador.

Fonte da imagem: vicky gharat / pixabay.com

De acordo com o Ministério Público Federal, o hack foi executado pelo desenvolvedor sênior da Ubiquiti, Nickolas Sharp, e por causa de suas ações a empresa foi forçada a divulgar informações sobre o incidente em janeiro. No final de dezembro de 2020, Sharp se candidatou a um emprego em outra empresa de tecnologia, após o qual usou seu acesso ao provedor de nuvem da Amazon (AWS) e contas do GitHub para fazer download e, de fato, roubar dados confidenciais. A acusação não especificou exatamente quantos dados Sharpe supostamente baixou, mas é relatado que alguns dos downloads levaram várias horas e, no total, a operação durou cerca de duas semanas, durante as quais aproximadamente 155 repositórios da empresa foram clonados.

Em 28 de dezembro de 2020, os funcionários da Ubiquiti notaram vestígios de downloads incomuns, que foram realizados usando credenciais da empresa e uma conexão VPN Surfshark para ocultar o endereço IP real do invasor. Supondo que o sistema tenha sido comprometido por terceiros, a empresa iniciou uma investigação. Um dos membros do grupo de investigação era o próprio Sharpe. Em 7 de janeiro de 2021, um funcionário sênior da Ubiquiti recebeu um e-mail de resgate do endereço IP do mesmo serviço VPN Surfshark. O autor da carta denunciou o roubo de dados internos da Ubiquiti e prometeu não utilizá-los nem publicá-los na internet em troca de 25 bitcoins. Por outros 25 bitcoins, ele prometeu divulgar informações sobre uma porta dos fundos não fechada, que foi supostamente usada para roubar dados.

Fonte da imagem: Gerd Altmann / pixabay.com

De acordo com a investigação, foi possível conectar os downloads não autorizados com Sharpe, pois durante o download sua conexão foi interrompida várias vezes, o que interrompeu a conexão VPN, e o endereço real do atacante foi exibido nos recursos da empresa. Em 24 de março, agentes do FBI revistaram a casa de Sharpe e ele insistiu que era inocente. Sharpe disse aos agentes que uma pessoa desconhecida provavelmente estava usando sua conta do PayPal para comprar uma assinatura VPN Surfshark. Poucos dias após a busca, segundo a promotoria, Sharp atuou como informante anônimo e tornou-se fonte de publicações que não correspondiam à realidade. Em particular, ele afirmou que a Ubiquiti negligenciou a necessidade de armazenar logs de acesso que ajudariam na investigação do incidente. De acordo com a acusação, foi Sharpe quem foi a pessoa o que reduziu o tempo de armazenamento dos dados de acesso aos sistemas da empresa nos servidores AWS para apenas um dia. Após a publicação desses materiais, o preço das ações da Ubiquiti caiu 20% em apenas um dia, e a empresa perdeu US $ 4 bilhões em capitalização de mercado.

Sharpe é acusado de quatro crimes: fraude eletrônica, danos deliberados a computadores seguros, envio de mensagens transfronteiriças para extorsão e falso testemunho ao FBI. O Departamento de Justiça dos Estados Unidos não especificou no comunicado à imprensa e na acusação do empregador de Sharpe, no entanto, todos os detalhes correspondem aos relatórios anteriores do incidente da Ubiquiti e às informações fornecidas no perfil de Sharpe no LinkedIn.