Le journaliste Brian Krebs est poursuivi par le fabricant d’équipements réseau Ubiquiti pour diffamation pour sa couverture d’une violation de données qui s’est finalement révélée être l’œuvre d’un initié de l’entreprise.
Ubiquiti a initialement divulgué une violation de données le 11 janvier 2021, informant les clients que la violation était mineure et s’était produite chez un « fournisseur de cloud tiers ». Mais le 30 mars 2021, Krebs a rapporté qu’un dénonciateur non identifié lui avait dit que la violation de données était pire que ce qu’Ubiquiti avait dit. L’histoire de Krebs et d’autres similaires publiées le lendemain ont fait chuter la capitalisation boursière d’Ubiquiti de 4 milliards de dollars, selon le procès.
Puis, en décembre 2021, le ministère de la Justice a déclaré qu’il avait inculpé Nickolas Sharp « pour avoir secrètement volé des gigaoctets de fichiers confidentiels à une entreprise technologique basée à New York où il travaillait ». Le DOJ a également déclaré, « tout en travaillant soi-disant pour remédier à la faille de sécurité, [Sharp] extorquer[ed] la société pour près de 2 millions de dollars pour le retour des fichiers et l’identification d’une prétendue vulnérabilité restante. Sharp aurait travaillé pour Ubiquiti au moment de l’attaque.
Ubiquiti allègue que Krebs savait que Sharp était sa source, mais a publié un article sur les accusations portées contre Sharp qui était « intentionnellement trompeur ».
« Malgré ces barrages [sic] faits, Krebs a publié un article sur son blog le lendemain, doublant ses fausses accusations contre Ubiquiti et induisant intentionnellement ses lecteurs en erreur en leur faisant croire que ses reportages précédents n’avaient pas été fournis par Sharp, le pirate informatique à l’origine de l’attaque », indique le procès. (Généralement, les journalistes ne révèlent pas de sources anonymes sans le consentement de la source, même si cette source est accusée de crimes. Une accusation de crime n’est pas une preuve de culpabilité, bien sûr.)
Le procès indique que Krebs a été intentionnellement trompeur parce qu’«il décrit d’abord Sharp comme un employé actuel. Il décrit ensuite Sharp comme un « ancien développeur d’Ubiquiti » pour tromper les lecteurs en leur faisant croire que la source de son histoire originale était une source légitime – quelqu’un d’autre que Sharp.
Voici le passage de l’article de Krebs du 2 décembre 2021 auquel le procès fait référence :
En janvier 2021, le fournisseur de technologie Ubiquiti Inc. [NYSE:UI] a révélé qu’une violation chez un fournisseur de cloud tiers avait exposé les informations d’identification du compte client. En mars [2021], un employé d’Ubiquiti a averti que l’entreprise avait considérablement sous-estimé l’étendue de l’incident et que la réclamation du fournisseur de cloud tiers était une fabrication. Mercredi, un ancien développeur d’Ubiquiti a été arrêté et accusé d’avoir volé des données et d’avoir tenté d’extorquer son employeur en se faisant passer pour un lanceur d’alerte.
Krebs note que l’individu en question était un employé d’Ubiquiti en mars 2021 et qu’au moment des accusations de décembre, un « ancien » développeur était impliqué. Si ces personnes sont la même personne et si cette personne a été licenciée ou a quitté Ubiquiti entre mars 2021 et décembre 2021, alors ces deux choses peuvent être vraies, bien sûr.
Le procès fait allusion à une demande d’Ubiquiti à Krebs pour qu’il retire son article, ce qu’il a apparemment refusé. La poursuite affirme également que Krebs « a intentionnellement déformé la vérité parce qu’il était financièrement incité à le faire » parce qu’il diffuse des publicités sur son site Web. Krebs a ajouté une mise à jour à son article du 30 mars 2021 lié à l’article du 2 décembre qu’il a écrit sur les accusations de crime contre Sharp.
Ubiquiti demande 425 000 $ de dommages et intérêts.