Voormalig ontwikkelaar bij Ubiquiti, Nickolas Sharp, is veroordeeld tot een gevangenisstraf van zes jaar voor de datahack- en bijbehorende -diefstal bij zijn toenmalige werkgever.
Eind 2020 stal Nickolas Sharp tientallen gigabyte aan data bij zijn eigen werkgever, technologiebedrijf Ubiquiti. Hij probeerde zichzelf een extra bonus voor nieuwjaar uit te keren en perste de firma af voor net geen twee miljoen dollar. Daarvoor is hij door een rechtbank in New York nu veroordeeld tot zes jaar opsluiting.
De feiten
Op het moment van zijn acties was Sharp een senior ontwikkelaar bij Ubiquiti. Dat gaf hem toegang tot data die het bedrijf verwerkt via Amazon Web Services en GitHub. Daarvan maakte hij handig gebruik om gigabytes aan gegevens te stelen van zijn werkgever. Eerst deed hij zich voor als een anonieme hacker en perste Ubiquiti af voor 1,9 miljoen dollar. Het bedrijf weigerde echter en Sharp gooide een deel van de data dan maar online.
Ubiquiti stapte naar de FBI en dan ging het allemaal vrij snel. Sharp gebruikte steeds een VPN om zijn ongeautoriseerde log-ins in de bedrijfssystemen te maskeren, maar had tijdens één van die sessies niet gemerkt dat door een heel korte storing online zijn IP-adres thuis toch was geregistreerd. Dat zette de Fed’s al snel op zijn spoor tijdens het onderzoek, ondanks het feit dat Sharp data had gemanipuleerd zodat het leek dat onwetende collega’s achter de hack zaten. Zijn claim dat hij nooit zo dom zou zijn om zijn eigen IP-adres herkenbaar te laten en dat hij er werd ingeluisd konden ook niet meteen op veel bijval rekenen.
Met de aandacht vol op hem begon Nickolas Sharp zich toch extra in te dekken en wiste hij alle data van de laptop die hij voor de hacks gebruikte, om het toestel vervolgens compleet te resetten. Maar Sharp bleek toch niet het scherpste potlood in de doos, want hij bewaarde de laptop gewoon in huis. Het toestel werd dan ook in beslag genomen door de FBI tijdens een huiszoeking, amper twee maanden na Sharp zijn poging tot afpersing.
De klokkenluider van Ubiquiti
Vervolgens werd het verhaal iets gekker. In een gewaagde poging om het over een compleet andere boeg te gooien, meette Sharp zich de rol aan van klokkenluider en contacteert de media; hij claimt niet alleen dat Ubiquiti kwetsbaar is, maar ook dat het bedrijf de hack in de doofpot wou stoppen. Hij deed de hack ook veel erger uitschijnen dan eigenlijk het geval was. Die beweringen deden de marktwaarde van zijn werkgever op dat moment met maar liefst vier miljard dollar dalen.
lees ook
Intel bevestigt diefstal van Intel BootGuard-sleutels bij MSI-hack
Misdaad loont niet
Het mocht allemaal niet baten. Eind 2021 viel het doek en werd Nickolas Sharp gearresteerd. De lijst van beschuldigingen bevatte niet alleen de hack en datadiefstal, maar ook het bewust compromitteren van beveiligde apparatuur, (financiële) fraude via telecommunicatie of het internet en liegen tegen de FBI.
Tijdens zijn proces deed Sharp nog een ultieme poging om de rechtbank te overtuigen dat zijn acties eigenlijk een veiligheidstest waren die hij op eigen houtje had uitgevoerd, omdat zijn CEO hem ervan weerhield om bepaalde digitale kwetsbaarheden aan te pakken. Die wanhoopspoging haalde niet veel uit en Sharp werd dus veroordeeld tot zes jaar cel. Dat is een stuk minder dan de mogelijke 35 tot 37 jaar en zelfs minder dan de eis van acht tot tien jaar door de procureur; die Sharp omschreef als een halsstarrige leugenaar en datadief.