Secondo l’atto di accusa, che non fa esplicitamente il nome dell’azienda ma consente di dedurlo, il dipendente in questione è Nickolas Sharp, un trentaseienne di Portland, in Oregon, che lavorava alla Ubiqiti come senior software engineer ed era responsabile per lo sviluppo del software e per la sicurezza delle infrastrutture aziendali.
Sharp, paradossalmente, faceva proprio parte del team di specialisti della Ubiquiti incaricati di indagare sulla violazione. Quella violazione che lui stesso aveva commesso, usando le proprie credenziali di amministratore e la propria conoscenza dei sistemi informatici aziendali.
Quando il suo tentativo di estorsione è fallito perché Ubiquiti ha deciso di non pagare, ha tentato di danneggiare l’azienda e di depistare le indagini diffondendo notizie false su un presunto aggressore esterno. Ma è stato tradito da una banale caduta di linea. Come ha dichiarato Michael J. Driscoll, Assistant Director dell’FBI, “Il signor Sharp forse riteneva di essere abbastanza astuto da far funzionare il suo piano, ma un semplice guasto tecnico ha messo fine ai suoi sogni di ricchezza.”
Il processo deciderà se le accuse molto circostanziate dell’FBI sono fondate: in tal caso, Nickolas Sharp rischia fino a 37 anni di carcere.
L’esperto di sicurezza informatica Graham Cluley ha commentato questa insolita tentata estorsione osservando che “tutte le aziende farebbero bene a ricordare che probabilmente la minaccia peggiore non proviene da hacker esterni, ma dai dipendenti che sono stati assunti e ai quali è stata data fiducia nel gestire i sistemi informatici e nell’interagire con i dati aziendali”.
Non che gli hacker esterni facciano pochi danni, intendiamoci, ma un addetto interno può fare ben di peggio. Un buon rimedio è vincolare tutti gli accessi ai dati più sensibili in modo che serva l’autorizzazione contemporanea di almeno due persone e altre persone vengano allertate di ognuno di questi accessi. Questo rende molto più difficili sabotaggi dall’interno come quello che ha colpito l’azienda statunitense.
E per tutti gli aspiranti hacker che pensano che usare una VPN li renda invisibili e impossibili da rintracciare e identificare: pensateci due volte. Storie come quella di Nickolas Sharp dimostrano che non è così semplice, neanche per un addetto ai lavori.
Fonti aggiuntive: Catalin Cimpanu, Bleeping Computer, Bitdefender.
