Qu’est-ce qui vient de se passer? Nickolas Sharp, un ancien employé d’Ubiquiti qui supervisait l’équipe cloud de l’entreprise, a avoué avoir volé des gigaoctets de données privées sur le réseau de l’entreprise sous le couvert d’un pirate informatique anonyme et d’un lanceur d’alerte. Sharp, un ingénieur logiciel de 36 ans de Portland, Oregon, est accusé d’avoir volé des gigaoctets de données sensibles des référentiels GitHub d’Ubiquiti et des serveurs AWS en décembre 2020.
Sharp a plaidé coupable à trois chefs d’accusation : fausses déclarations au FBI, fraude électronique et transmission délibérée d’un programme malveillant à un ordinateur protégé. La peine maximale pour chacune de ces infractions est de 35 ans de prison.
Ubiquiti a signalé un incident de sécurité en janvier 2021 suite à l’incident de vol de données. Sharp, tout en se faisant passer pour un hacker anonyme, a cherché à extorquer l’entreprise. La note de rançon demandait 50 bitcoins, ce qui, à l’époque, équivalait à environ 1,9 million de dollars, en échange de la récupération des données et de la divulgation de la faiblesse du réseau qui avait permis le piratage. Cependant, au lieu de payer la rançon, Ubiquiti a choisi de mettre à jour les informations de connexion de chaque employé. De plus, l’entreprise a trouvé et éliminé une deuxième porte dérobée dans ses systèmes, avant de signaler une faille de sécurité le 11 décembre.
“La société de Nickolas Sharp lui a confié des informations confidentielles qu’il a exploitées et détenues contre rançon”, a déclaré l’avocat américain Damian Williams.
“Ajoutant l’insulte à l’injure, lorsque Sharp n’a pas reçu ses demandes de rançon, il a riposté en provoquant la publication de fausses informations sur l’entreprise, ce qui a fait chuter la capitalisation boursière de son entreprise de plus de 4 milliards de dollars.”
Pointu utilisé ses informations d’identification d’administrateur cloud pour cloner des centaines de référentiels via SSH et voler des fichiers privés de l’infrastructure AWS d’Ubiquiti (le 10 décembre 2020) et des référentiels GitHub (les 21 et 22 décembre).
Il a tenté de dissimuler son adresse IP personnelle lors de la collecte des données à l’aide du service VPN Surfshark, mais sa position a été découverte à la suite d’une brève panne d’Internet. En outre, il a également modifié les règles de conservation des journaux sur les serveurs d’Ubiquiti et d’autres données qui auraient révélé son identité lors de l’enquête.
Le FBI a perquisitionné la résidence de Nicholas Sharp le 24 mars 2021 et saisi son équipement électronique. Interrogé, il a fait plusieurs fausses déclarations aux responsables du FBI, notamment qu’il n’était pas l’auteur et qu’il n’avait jamais utilisé ce VPN auparavant. Les dossiers démontrant que Sharp a acheté le service VPN Surfshark en juillet 2020, environ six mois avant l’incident, l’ont amené à faire l’allégation frauduleuse que quelqu’un d’autre doit avoir accédé à son compte PayPal pour effectuer la transaction.
Sharp, se faisant passer pour un lanceur d’alerte, a accusé Ubiquiti d’avoir minimisé la violation dans une interview aux médias après l’échec de la tentative d’extorsion. Après avoir contesté l’affirmation d’Ubiquiti et affirmé que l’impact de l’incident était significatif, la société a reconnu le 1er avril qu’elle était la cible d’une tentative d’extorsion à la suite du piratage de janvier sans aucune indication que les comptes d’utilisateurs étaient affectés.
Il a en outre affirmé qu’Ubiquiti ne disposait pas d’un mécanisme de journalisation qui leur aurait interdit de déterminer si “l’attaquant” avait accédé à des systèmes ou à des données. Ses affirmations, cependant, sont cohérentes avec les informations du ministère de la Justice selon lesquelles il a trafiqué les systèmes de journalisation de l’entreprise.