作者 | 祝濤       

出品 | CSDN（ID：CSDNnews）

12月1日，網(wǎng)絡(luò)設(shè)備制造商優(yōu)比快（Ubiquiti）的前雇員尼古拉斯·夏普（nicholas Sharp）被捕，他被控竊取數(shù)據(jù)，并試圖以告密者和匿名黑客的身份敲詐其雇主。

美國聯(lián)邦檢察官達(dá)米安·威廉姆斯（Damian Williams）稱：“尼古拉斯·夏普利用他內(nèi)部人士的權(quán)限，從其雇主那里竊取了千兆字節(jié)的機密數(shù)據(jù)，然后，他假裝成一個匿名黑客，勒索該公司給予近200萬美元的贖金。”

“FBI搜查了夏普的家，發(fā)現(xiàn)他與Ubiquiti數(shù)據(jù)被盜的事件有關(guān)。夏普偽裝成一個匿名的公司告密者，散布破壞性的新聞消息，謊稱數(shù)據(jù)被盜是因為公司電腦系統(tǒng)存在漏洞，才讓黑客有機可乘。”

竊取數(shù)據(jù)，敲詐未果

根據(jù)起訴書，夏普利用他的云管理員證書，于2020年12月10日竊取了Ubiquiti AWS的數(shù)據(jù)，2020年12月21日和22日從GitHub基礎(chǔ)設(shè)施中竊取了數(shù)據(jù)，這些數(shù)據(jù)共計數(shù)十億字節(jié)，他還通過SSH克隆了數(shù)百個GitHub存儲庫。

在夏普竊取數(shù)據(jù)之后，今年1月，Ubiquiti公司披露了這起安全事件，并聲稱會努力補救安全漏洞所造成的影響，但與此同時，夏普假裝成了一個匿名黑客，試圖敲詐該公司。

在勒索信中，他要求Ubiquiti公司拿出近200萬美元，作為交換條件，他將歸還被盜的文件，并告知公司一個尚存的漏洞。

Ubiquiti公司拒絕支付贖金，該公司找到了進(jìn)入其系統(tǒng)的第二個后門，并刪除了這個入口，更改了所有員工的證件，并于1月11日發(fā)出了安全漏洞通知。

惡意中傷，公司股價大跌

勒索失敗后，夏普假裝成知情人，與媒體分享了相關(guān)消息，并指責(zé)該公司企圖淡化這一事件所造成的影響。這導(dǎo)致Ubiquiti的股價下跌約20%，從3月30日的349美元跌至4月1日的290美元，市值損失超過40億美元。

司法部稱：“夏普發(fā)布了誤導(dǎo)性的新聞文章，指責(zé)公司對數(shù)據(jù)泄露的處理不當(dāng)，再次中傷他的雇主，導(dǎo)致公司股價大幅下跌，市值損失了數(shù)十億美元?！?/p>

4月1日，Ubiquiti證實，在1月份的數(shù)據(jù)泄露事件后，該公司成為了勒索的目標(biāo)。夏普偽裝成告密者質(zhì)疑其雇主對數(shù)據(jù)泄露的處理方式，聲稱該事件所造成的實際影響是巨大的，然而，沒有跡象表明客戶的賬戶受到了影響。

因網(wǎng)絡(luò)中斷而漏出馬腳

在竊取數(shù)據(jù)的過程中，夏普試圖用Surfshark的VPN服務(wù)隱藏他的IP地址。然而，他的實際地址在一次短暫的網(wǎng)絡(luò)中斷后暴露了出來。

為了隱藏他的惡意行為，夏普還修改了日志保留策略和其他文件，這些文件在隨后的調(diào)查中徹底暴露了他的身份。法庭文件中寫道：“夏普在AWS上的某些日志中應(yīng)用了為期一天的生命周期保留政策，這使得入侵者的活動證據(jù)在一天內(nèi)被刪除。” Ubiquiti沒有日志記錄系統(tǒng)，因此他們無法檢查攻擊者訪問了哪些數(shù)據(jù)或系統(tǒng)。

雖然美國司法部沒有在新聞稿或起訴書中提到夏普的雇主，但所有的細(xì)節(jié)都與此前Ubiquiti數(shù)據(jù)被盜的消息以及夏普在LinkedIn賬戶上的信息完全一致。

夏普面臨四項罪名指控，如果罪名成立，他將面臨最高37年的監(jiān)禁。

人們不禁好奇：這位員工敲詐公司的原因到底是什么？是利欲熏心還是因為跟公司有什么深仇大恨呢？或許在司法部門進(jìn)一步的調(diào)查后會給出一個答案。

參考鏈接：

https://www.bleepingcomputer.com/news/security/former-ubiquiti-dev-charged-for-trying-to-extort-his-employer/

https://www.justice.gov/usao-sdny/press-release/file/1452706/download