وی افزود: وقتی شارپ باجخواهیهایش را دریافت نکرد، با انتشار اخبار نادرست درباره شرکت که منجر به کاهش بیش از 4 میلیارد دلاری ارزش بازار شرکتش شد، تلافیجویانهای به آسیبدیدگی اضافه کرد.
او همچنین اظهار داشت که Ubiquiti فاقد مکانیزم ثبت گزارش است که آنها را از تعیین اینکه آیا “مهاجم” به هر سیستم یا داده ای دسترسی داشته است منع می کند. با این حال، اظهارات او با اطلاعات وزارت دادگستری مبنی بر دستکاری سیستم های ثبت شرکت در این شرکت مطابقت دارد.
شارپ از اعتبار مدیر ابری خود برای شبیه سازی صدها مخزن از طریق SSH و سرقت فایل های خصوصی از زیرساخت های AWS Ubiquiti (در 10 دسامبر 2020) و مخازن GitHub (در 21 و 22 دسامبر) استفاده کرد.
دامیان ویلیامز، دادستان ایالات متحده، گفت: «شرکت نیکلاس شارپ اطلاعات محرمانهای را به او واگذار کرد که او از آنها بهرهبرداری کرده و برای باج در اختیار داشت».
شارپ به سه اتهام اعتراف کرد: اظهارات نادرست به FBI، کلاهبرداری با سیم، و انتقال عمدی یک برنامه مخرب به یک رایانه محافظت شده. حداکثر مجازات برای هر یک از این جرایم 35 سال زندان است.
شارپ با تظاهر به افشاگر، پس از شکست تلاش برای اخاذی، یوبیکوئیتی را به کم اهمیت جلوه دادن این نقض متهم کرد. پس از اینکه او ادعای Ubiquiti را به چالش کشید و ادعا کرد که تأثیر این حادثه قابل توجه است، این شرکت در 1 آوریل اذعان کرد که هدف تلاش برای اخاذی پس از هک ژانویه بدون هیچ نشانه ای مبنی بر اینکه حساب های کاربری تحت تأثیر قرار گرفته است، بوده است.
چه اتفاقی افتاده؟ نیکلاس شارپ، کارمند سابق Ubiquiti که بر تیم ابری شرکت نظارت می کرد، اعتراف کرد که در پوشش یک هکر ناشناس و یک افشاگر، گیگابایت داده های خصوصی از شبکه شرکت را به سرقت برده است. شارپ، یک مهندس نرم افزار 36 ساله از پورتلند، اورگان، به سرقت گیگابایت داده های حساس از مخازن Ubiquiti GitHub و سرورهای AWS در دسامبر 2020 متهم شده است.
او در حین جمعآوری دادهها با استفاده از سرویس Surfshark VPN تلاش کرد آدرس IP خانه خود را پنهان کند، اما پس از یک قطع کوتاه اینترنت، مکان او کشف شد. علاوه بر این، او قوانین حفظ گزارش روی سرورهای Ubiquiti و سایر دادههایی را که میتوانست هویت او را در طول پرس و جو آشکار کند، تغییر داد.
Ubiquiti در ژانویه 2021 یک حادثه امنیتی را به دنبال حادثه سرقت داده گزارش داد. شارپ در حالی که وانمود می کرد یک هکر ناشناس است، به دنبال اخاذی از شرکت بود. در یادداشت باج 50 بیت کوین، که در آن زمان، معادل 1.9 میلیون دلار بود، در ازای بازیابی اطلاعات و افشای ضعف شبکه که اجازه هک را داده بود، درخواست می کرد. با این حال، به جای پرداخت باج، Ubiquiti تصمیم گرفت اطلاعات ورود به سیستم را برای هر کارمند به روز کند. علاوه بر این، این کسب و کار قبل از گزارش یک نقض امنیتی در 11 دسامبر، دومین درب پشتی را در سیستم های خود پیدا و حذف کرد.
FBI در 24 مارس 2021 اقامتگاه نیکلاس شارپ را جستجو کرد و تجهیزات الکترونیکی وی را ضبط کرد. هنگام بازجویی، او چندین اظهارات نادرست به مقامات FBI داد، از جمله اینکه او عامل این جنایت نبوده و قبلاً از آن VPN استفاده نکرده است. سوابق نشان می دهد که شارپ سرویس Surfshark VPN را در ژوئیه 2020، حدود شش ماه قبل از حادثه، خریداری کرده است، باعث شد که او این ادعای جعلی را مطرح کند که شخص دیگری باید برای تکمیل تراکنش به حساب PayPal او دسترسی داشته باشد.