Een voormalige medewerker van Ubiquiti die gigabytes aan vertrouwelijke data van het netwerkbedrijf stal en zijn ex-werkgever afperste is in de Verenigde Staten veroordeeld tot een gevangenisstraf van zes jaar. Ook moet hij een vergoeding van 1,6 miljoen dollar betalen. In de zaak speelde de bekende it-journalist Brian Krebs een belangrijke rol, aangezien hij de medewerker als enige bron gebruikte voor een verhaal dat Ubiquiti de ernst van een datalek zou hebben verzwegen.
Begin 2021 waarschuwde Ubiquiti klanten voor een mogelijk datalek nadat een onbevoegd iemand toegang tot verschillende systemen van het netwerkbedrijf had gekregen. Vervolgens meldde Krebs op basis van een anonieme klokkenluider dat Ubiquiti de werkelijke impact van het datalek had verzwegen. Na de publicatie van het artikel daalde de aandelenkoers van Ubiquiti met twintig procent, wat neerkomt op een waardedaling van meer dan vier miljard dollar, aldus de Amerikaanse openbaar aanklager in de zaak tegen de voormalige medewerker.
Eind 2021 werd een voormalige medewerker van Ubiquiti aangeklaagd voor het stelen van gigabytes aan vertrouwelijke data en het afpersen van zijn werkgever. Volgens de aanklacht was de man verantwoordelijk voor de diefstal van de data, het afpersen van Ubiquiti en hielp hij via Krebs valse geruchten de wereld in. De man was van augustus 2018 tot en met 1 april 2021 werkzaam voor het netwerkbedrijf. Hij was een senior ontwikkelaar met toegang tot de Amazon Web Services- en GitHub-servers van Ubiquiti.
In december 2021 gebruikte hij herhaaldelijk zijn beheerderstoegang voor het downloaden van gigabytes aan vertrouwelijke data van zijn werkgever. Dit was het mogelijke datalek waarvoor Ubiquiti klanten begin dat jaar had gewaarschuwd. Tijdens de datadiefstal wijzigde de man ook de bewaarduur van logbestanden, om zo zijn activiteiten te verbergen. Daarnaast wijzigde hij sessienamen, zodat het leek alsof collega's voor zijn kwade acties verantwoordelijk waren.
De man was ook betrokken bij het team dat onderzoek naar het datalek deed. Tegelijkertijd deed hij zich voor als een aanvaller en stuurde een bericht naar Ubiquiti dat het bedrijf 1,9 miljoen dollar moest betalen, anders zou de buitgemaakte data worden geopenbaard. Daarnaast zou hij details over een vermeende backdoor geven waarmee hij toegang tot de servers van het bedrijf had gekregen.
In maart 2021 deed de FBI een huiszoeking bij de man en nam verschillende apparaten van hem in beslag. De man ontkende tegenover agenten dat hij de aanvaller was. Een aantal dagen na de huiszoeking, en omdat Ubiquiti het gevraagde losgeld niet wilde betalen, stapte de man naar Krebs en deed zich voor als klokkenluider, zo laat de aanklacht verder weten. Tegenover de journalist deed hij allerlei valse beweringen die Krebs uiteindelijk publiceerde en grote gevolgen voor de aandelenkoers had. Uiteindelijke bekende Krebs afgelopen augustus dat hij een fout had gemaakt. Ook maakte hij excuses aan Ubiquiti en verwijderde het oorspronkelijke bericht.
Begin dit jaar bekende de ex-medewerker schuldig te zijn aan 'wire fraud' en het opzettelijk beschadigen van een beveiligde computer, alsmede het geven van valse verklaringen aan de FBI. De voormalig Ubiquiti-medewerker kon tot een gevangenisstraf van maximaal 35 jaar worden veroordeeld.
Deze posting is gelocked. Reageren is niet meer mogelijk.