एक न्याय विभाग से अभियोग पता चलता है कि यूबिकिटी हैक ने जनवरी में रिपोर्ट की थी, और बाद में कवर-अप के व्हिसलब्लोअर के दावे, किसी ऐसे व्यक्ति का काम था जो उस समय कंपनी का कर्मचारी था। डीओजे ने आरोप लगाया कि 36 वर्षीय निकोलस शार्प को बुधवार को इस आरोप में गिरफ्तार किया गया था कि उसने गोपनीय डेटा डाउनलोड करने के लिए अपने कर्मचारी क्रेडेंशियल्स का इस्तेमाल किया और कंपनी को गुमनाम मांग भेजी, जिसमें उसने 50 बिटकॉइन की फिरौती पाने के प्रयास में हैकर होने का नाटक किया। . पूरा अभियोग आप नीचे पढ़ सकते हैं।
अभियोग विशेष रूप से Ubiquiti का नाम नहीं लेता है, केवल “कंपनी -1” का जिक्र करता है। हालाँकि, सभी विवरण पंक्तिबद्ध हैं। जनवरी में, Ubiquiti ने उपयोगकर्ताओं को एक ईमेल भेजा जिसमें कहा गया था कि एक अनधिकृत पार्टी ने “तृतीय पक्ष क्लाउड प्रदाता द्वारा होस्ट की गई सूचना प्रौद्योगिकी प्रणाली” तक पहुंच प्राप्त की है। मार्च में, व्हिसलब्लोअर होने का दावा करने वाले किसी व्यक्ति ने इस घटना को “विनाशकारी” के रूप में प्रस्तुत किया, यह आरोप लगाते हुए कि कंपनी हमले की पूरी सीमा नहीं बता सकती क्योंकि यह लॉग नहीं रख रही थी और हमलावर के पास यूबिक्विटी की अमेज़ॅन वेब सेवाओं तक पहुंच थी ( एडब्ल्यूएस) सर्वर।
अभियोग का कहना है कि कंपनी न्यूयॉर्क में स्थित है, जो उबिक्विटी is, और कहते हैं कि घटना की खबर मिलने के बाद 30 मार्च से 31 मार्च के बीच कंपनी के शेयर की कीमत लगभग 20 प्रतिशत गिर गई। Yahoo Finance के अनुसार, 29 मार्च को Ubiquiti के शेयर का मूल्य $376.78 था और 31 मार्च तक गिरकर $298.30 हो गया।
शायद सबसे उल्लेखनीय यह आरोप है कि शार्प ने मार्च 2021 के अंत में मीडिया आउटलेट्स के लिए एक व्हिसलब्लोअर के रूप में पेश किया – उसी समय एक व्हिसलब्लोअर ने उबिक्विटी पर डेटा उल्लंघन की गंभीरता को कवर करने का आरोप लगाया, इसके बावजूद कंपनी का इनकार है कि उपयोगकर्ता डेटा को लक्षित किया गया था. हमने एक लिंक्डइन प्रोफ़ाइल भी देखी जो शार्प से संबंधित प्रतीत होती है और उसे अभियोग में सूचीबद्ध समय के दौरान यूबिक्विटी के लिए काम करते हुए दिखाती है।
डीओजे का आरोप है कि शार्प ने दिसंबर 2020 में किसी अन्य कंपनी में नौकरी के लिए आवेदन करने के बाद कंपनी के अमेज़ॅन वेब सर्विसेज और जीथब खातों को एक्सेस किया। अभियोग कहता है कि एक अन्य कर्मचारी ने गोपनीय डेटा के “गीगाबाइट्स” को शार्प डाउनलोड करने के बाद उल्लंघन के दिनों की खोज की और एडब्ल्यूएस नीतियों को लागू किया। लॉगिंग सीमित करें। शार्प को कथित तौर पर घटना का आकलन करने के लिए बनाई गई प्रतिक्रिया टीम को सौंपा गया था, और डीओजे का कहना है कि उन्होंने इस स्थिति का इस्तेमाल संदेह से बचने की कोशिश करने के लिए किया था।
अभियोग के अनुसार, शार्प ने एक गुमनाम फिरौती ईमेल भेजा, जिसमें वादा किया गया था कि डेटा को प्रकाशित नहीं करेगा और कंपनी को 10 जनवरी, 2021 तक 50 बिटकॉइन का भुगतान करने पर पिछले दरवाजे को पैच करने में मदद करेगा। डीओजे ने आरोप लगाया कि शार्प ने कुछ चोरी किए गए डेटा को जारी किया जब कंपनी ने फिरौती नहीं दी।
डीओजे का कहना है कि यह एक छोटी तकनीकी गड़बड़ के कारण शार्प को ट्रैक करने में सक्षम था – शार्प ने कथित तौर पर डेटा लेने और ईमेल भेजने के दौरान अपनी पहचान को छिपाने के लिए सर्फशर्क वीपीएन का इस्तेमाल किया, लेकिन “एक क्षणभंगुर उदाहरण में,” उसके असली आईपी की पहचान की गई और लॉग इन किया गया कंपनी के GitHub से कनेक्ट हो रहा है। डीओजे के अनुसार, यह तब हुआ जब शार्प का घरेलू इंटरनेट बंद हो गया, और फिर से जुड़ गया।
अभियोग के अनुसार, इसने अंततः एफबीआई को शार्प के घर पर तलाशी वारंट जारी करने के लिए प्रेरित किया, जहां उन्होंने सर्फशार्क का उपयोग करने से इनकार किया और कहा कि किसी और ने सदस्यता खरीदने के लिए अपने पेपैल खाते का इस्तेमाल किया। एक अंतिम मोड़ में, अभियोग कहता है कि शार्प ने व्हिसलब्लोअर के रूप में मीडिया आउटलेट्स से संपर्क किया उपरांत एफबीआई ने उनके घर की तलाशी ली और इलेक्ट्रॉनिक उपकरण जब्त किए।
यदि शार्प को दोषी पाया जाता है और डीओजे यह साबित कर सकता है कि घटना अभियोग में निर्धारित के रूप में सामने आई है, तो यह निश्चित रूप से यूबिक्विटी हैक की रिपोर्टों पर एक नया प्रकाश डालेगा। अभियोग का आरोप है कि शार्प ने अपना काम करने के लिए दिए गए क्रेडेंशियल्स का उपयोग करके हमला शुरू किया। मार्च में, Ubiquiti अपने बयान पर कायम कि हमलावरों ने ग्राहक डेटा का उपयोग नहीं किया, जो आज प्रकट की गई जानकारी के विपरीत प्रतीत नहीं होता है।