Nickolas Sharp, mantan pengembang senior Ubiquiti, dijatuhi hukuman enam tahun penjara karena mencuri data perusahaan, berusaha memeras majikannya, dan membantu publikasi artikel berita menyesatkan yang sangat berdampak pada kapitalisasi pasar perusahaan.
Pada Januari 2021, produsen perangkat jaringan Ubiquiti diumumkan bahwa itu mengalami pelanggaran data di penyedia cloud pihak ketiga pada Desember 2020, memberi tahu semua pelanggannya bahwa mereka perlu mengatur ulang kata sandi dan mengaktifkan 2FA di akun mereka.
Sementara diduga bekerja sebagai bagian dari respons insiden, Departemen Kehakiman mengatakan Sharp berperan sebagai peretas anonim, menuntut agar Ubiquity membayar 50 Bitcoin ($ 1,9 juta pada saat itu) untuk mengetahui kerentanan yang dieksploitasi dan agar data yang dicuri dihapus.
Setelah perusahaan menolak membayar, Sharp menghubungi media, menyamar sebagai pelapor untuk menyebarkan informasi yang salah tentang bagaimana Ubiquity menangani insiden keamanan tersebut.
“Dalam cerita-cerita itu, Sharp mengidentifikasi dirinya sebagai pelapor anonim di dalam Perusahaan-1 [Ubiquiti] yang telah bekerja untuk memulihkan insiden tersebut dan secara keliru mengklaim bahwa Perusahaan-1 telah diretas oleh pelaku tak dikenal yang dengan jahat memperoleh akses root administrator ke akun AWS Perusahaan-1,” bunyi pernyataan tersebut. Pengumuman DoJ AS.
“Faktanya, seperti yang diketahui Sharp, Sharp sendiri telah mengambil data Perusahaan-1 menggunakan kredensial yang dapat dia akses, dan Sharp telah menggunakan data tersebut dalam upaya yang gagal untuk memeras Perusahaan-1 demi jutaan dolar.”
DOJ mengatakan penyebaran informasi palsu mengakibatkan harga saham Ubiquiti turun sekitar 20%, sesuai dengan kerugian kapitalisasi pasar lebih dari $4 miliar.
Bukti mengarah ke Sharp
Pada Desember 2021, Sharp ditangkap dan didakwa dengan pencurian data dan pemerasan setelah penyelidikan internal menunjukkan bahwa dia menggunakan hak istimewanya untuk mengekstraksi data pelanggan dari sistem perusahaannya.
Sementara pengembang nakal telah membersihkan jejaknya dari log di sistem perusahaan dan menggunakan Surfshark VPN untuk menyembunyikan IP-nya selama serangan, pemadaman internet sementara mengganggu koneksi terowongan terenkripsi dan mengungkap lokasinya secara singkat.
Pada Februari 2023, setelah Sharp berulang kali mencoba menyesatkan penyelidik FBI, mantan karyawan Ubiquiti mengaku bersalah untuk satu tuduhan mentransmisikan program ke komputer yang dilindungi yang dengan sengaja menyebabkan kerusakan, satu tuduhan penipuan kawat, dan satu tuduhan membuat pernyataan palsu kepada FBI.
Meskipun dakwaan tersebut dapat dikenakan hukuman maksimal 37 tahun penjara, Pengadilan Distrik Selatan New York memutuskan untuk menghukum Sharp 6 tahun penjara, tiga tahun pembebasan dengan pengawasan, dan memerintahkan pembayaran restitusi sebesar $1.590.487.
