.
Nickolas Sharp foi condenado a seis anos de prisão e a pagar quase US$ 1,6 milhão ao seu ex-empregador Ubiquiti – depois de roubar gigabytes de dados corporativos do negócio e tentar extorquir quase US$ 2 milhões de seus chefes enquanto se passava por um anônimo hacker.
Em fevereiro, Sharp, 37, confessou-se culpado para danificar intencionalmente um computador protegido, fraude eletrônica e fazer declarações falsas ao FBI. Ele foi condenado na quarta-feira pela juíza distrital dos EUA, Katherine Polk Failla.
“Nickolas Sharp recebia cerca de um quarto de milhão de dólares por ano para ajudar a manter seu empregador seguro”, disse o procurador-geral dos EUA, Damian Williams, em um comunicado. declaração.
Ele abusou dessa confiança roubando uma enorme quantidade de dados confidenciais, tentando implicar funcionários inocentes em seu ataque.
“Ele abusou dessa confiança roubando uma quantidade enorme de dados confidenciais, tentando implicar funcionários inocentes em seu ataque, extorquindo seu empregador por resgate, obstruindo a aplicação da lei e espalhando notícias falsas que prejudicaram a empresa e qualquer um que investisse na empresa.
“Sharp agora enfrenta sérias penalidades por seus crimes cruéis.”
Essas penalidades no final não foram tão sérias quanto Williams gostaria. Os promotores pediram ao juiz que colocasse Sharp atrás das grades por oito a 10 anos.
“Tal sentença refletiria adequadamente a gravidade dos crimes de Sharp, forneceria uma punição justa e enviaria uma mensagem aos aspirantes a hackers de que uma pena de prisão substancial é a consequência provável de tal conduta criminosa”, disse Williams em um memorando antes da sentença. [PDF].
Como (não) fugir com o hacking
O esquema bizarro começou no final de 2020, quando Sharp estava fazendo uma entrevista para um novo emprego. Na época, ele trabalhava como desenvolvedor sênior na Ubiquiti com acesso às instâncias da nuvem AWS da gigante dos dispositivos de rede e aos repositórios GitHub, de onde baixava dados confidenciais da empresa, segundo a acusação contra ele [PDF].
O engenheiro roubou “mais de 1.400 arquivos de definições de tarefas da AWS e mais de 1.100 repositórios de código do GitHub”, alterou os históricos de retenção de logs da empresa e mudou os nomes dos arquivos de sessão para ocultar sua atividade e fazer parecer que um colega de trabalho estava se esgueirando na rede, os promotores disse.
Por volta de janeiro de 2021, a Ubiquiti tomou conhecimento dessa atividade suspeita, disseram os promotores, e Sharp estava na equipe que investigava e remediava a confusão. Incrivelmente, na época, Sharp enviou anonimamente uma nota de resgate ao seu empregador, alegando ser o ladrão que havia roubado os arquivos corporativos e exigiu 50 Bitcoins – cerca de US$ 1,9 milhão na época. Em troca do dinheiro, ele devolveria os dados roubados e revelaria um suposto backdoor usado para roubar os dados, que obviamente não existia.
Quando a Ubiquiti recusou suas exigências, a Sharp vazou alguns dos dados para o público.
não fui eu
Sharp usou uma VPN Surfshark, que comprou usando sua conta pessoal do PayPal, para realizar a exfiltração acima. Essa VPN mascarou o endereço IP público que ele estava usando, para que parecesse que outra pessoa estava usando seu acesso de forma nefasta para capturar os arquivos. De acordo com os promotores, porém, enquanto exfiltrava dados dos repositórios GitHub da Ubiquiti, Sharp se conectou brevemente diretamente de seu endereço IP residencial, em vez de via VPN, revelando quem estava por trás do roubo e levou os investigadores à sua porta, literalmente.
O FBI obteve um mandado para revistar a casa de Sharp e, em março de 2021, invadiu sua residência em Portland, Oregon e apreendeu certos dispositivos eletrônicos pertencentes ao engenheiro, incluindo um laptop que ele havia usado para roubar os dados da Ubiquiti.
Durante uma investigação, Sharp fez declarações falsas a agentes do FBI: negou qualquer conhecimento do esquema de extorsão, disse que nunca usou uma VPN Surfshark e, quando pressionado a esse respeito, afirmou que “alguém deve ter usado sua conta do PayPal para fazer a compra “, de acordo com os procuradores. Eles não compraram.
Sharp, no entanto, aparentemente não conseguiu manter a boca fechada e, nos dias seguintes à invasão do FBI, ele foi à imprensa alegando ser um denunciante anônimo. Ele alegou falsamente que a Ubiquiti havia sido hackeada e sua empresa havia falhado na resposta ao incidente.
Essas notícias falsas fizeram com que as ações da empresa de tecnologia caíssem 20% entre 30 de março de 2021 e 31 de março de 2021, fazendo com que a Ubiquiti perdesse mais de US$ 4 bilhões em capitalização de mercado.
Sharp, que havia saído da Ubiquiti em abril daquele ano, tentou convencer o juiz Failla de que ele roubou os dados como uma espécie de teste de penetração interna, para tornar a Ubiquiti mais segura e, portanto, escapar da prisão, embora o tribunal tenha decidido o contrário.
Depois que seu tempo de prisão terminar, Sharp terá três anos de liberdade supervisionada. O juiz também ordenou que ele pagasse uma restituição de $ 1.590.487 [PDF] para cobrir os custos da Ubiquiti e confiscar bens pessoais [PDF] usado ou destinado a ser usado em conexão com esses crimes. ®
.
