מניית יוביקוויטי נפלה ב-4 מיליארד דולר אחרי שהעיתונאי בראיין קרבז חשף שחברת ציוד התקשורת ניסתה לגמד את חומרת מתקפת הסייבר שעברה. עכשיו יוביקוויטי תובעת דיבה את קרבז, שהמקור שלו כנראה היה ניקולאס שארפ, לשעבר מפתח בכיר בחברה – והנאשם באותה פריצה
ארגונים מגיבים בדרכים שונות כשמישהי חושפת אצלם פירצת אבטחה או מתקפת סייבר. רבות מהתגובות תואמות לשלבים במודל קובלר-רוס להתמודדות עם אבל: הכחשה – "אין אצלנו פירצה, אף פצחן לא חדר, שום מידע לא נגנב"; כעס: "מאיפה הגעת אלינו? מי הדליף לך? באיזו זכות את בכלל עושה לנו פן-טסט? את מנסה לסחוט אותנו?"; מיקוח: "אם נטפל בזה מיידית ונשלם לך המון כסף, תסכימי לשמור את זה לעצמך?"; דכאון: "בחיים לא נצליח להתגבר על כל הפירצות, זה גדול עלינו"; וקבלה: "תודה שהודעת לנו. נטפל".
כעס הוא יועץ גרוע, במיוחד אם העצה שלו לארגון היא להתכחש לפירצה, לנסות לטשטש או להסתיר אותה ולהפחיד את ההאקרית עם מכתב איום בתביעה או תלונה לרשויות בבקשה לפתוח בהליכים פליליים. ארגון שמתנהל ככה פוגע בתדמיתו, מרחיק לקוחות, מרתיע האקרים אתיים מלבדוק את חסינות הסייבר שלו, משאיר את המערכות שלו פרוצות וחושף את עצמו לענישה רגולטורית, לחקירות פליליות ולתביעות אזרחיות.
Ubiquiti, ענקית אמריקאית לציוד תקשורת ו-IoT ביתי, חוותה לפני כשנה וחצי מתקפת סייבר. זו הובילה אותה לקבל שורה של החלטות גרועות, שנמשכות עד עכשיו ורק מחמירות את נזקי המתקפה. אבל כששומעים את הסיפור המלא, קשה שלא להזדהות עם תחושת הנקמה הבוערת.
איך לא לספר ללקוחות שנפרצת
הסיפור התחיל בדצמבר 20', כשעובד של יוביקוויטי הבחין בפעילות חשודה בתשתית הענן שלה, שהתבררה כגישה לא מורשית למידע של החברה. אחרי שהחברה גילתה וסגרה את הדלת האחורית שההאקרים התקינו, אלה שלחו לחברה מייל ובו דרשו 25 ביטקוין בתמורה להחזרת המידע שגנבו ולשתיקתם, ו-25 ביטקוין נוספים תמורת חשיפת דלת אחורית נוספת – בסה"כ 1.9 מיליון דולר בביטקוין לפי השער דאז. החברה, שאיתרה בעצמה את הדלת האחורית הנוספת וסגרה גם אותה, סירבה לשלם. דקות לפני הדדליין, ההאקרים העלו חלק מהמידע שגנבו לשירות שיתוף הקבצים המאובטח Keybase ושלחו לינק לחברה, שהביאה להורדה מיידית של המידע. החברה דיווחה לרשויות האכיפה על הפריצה ונסיון הסחיטה.
בינואר 21' הודיעה החברה ללקוחותיה על הפריצה, והזהירה שייתכן שנחשפו פרטים אישיים שלהם, ובהם credentials – שמות משתמש וסיסמאות – ובעברית, נְתוּנֵי הַאֲמָנָה (תודה, אקדמיה ללשון 😠). ההודעה ללקוחות נראית פחות כמו אזהרה מפני ההשלכות החמורות של הפריצה, ויותר כמו נסיון לצאת ידי חובה ולקוות שהסיפור יתפוגג.
As a customer, this is the email that I got and didn't catch at the time. "Sooo, just FYI, there's been an attack against our systems with DB. Maybe consider changing your password?" Hugs and puppies, Ubiquiti. pic.twitter.com/lm83yXc7Sk
— Corey Quinn (@QuinnyPig) March 30, 2022
"לקוחות יקרים, נודע לנו לאחרונה על גישה לא מורשית למערכות טכנולוגיית מידע מסויימות שמתארחות אצל ספק ענן צד ג'", פותחת החברה, בלי להזכיר אף מילה מהשורש פ.ר.צ. "אין לנו שום חיווי לכך שבוצעה פעילות לא מורשית על חשבון של לקוח כלשהו", מרדימה החברה את הלקוחות. "לא ידוע לנו כרגע על ראיות לגישה למאגר נתונים כלשהו שמכיל מידע של משתמשים, אבל אנחנו לא יכולים להיות בטוחים שמידע של משתמשים לא נחשף", מסרבלת החברה את המסר הפשוט: יתכן שנחשף מידע של משתמשים. "המידע הזה עשוי לכלול את שמכם, כתובת האימייל, וסיסמה מוצפנת חד-חיוונית לחשבון שלכם (במונחים טכניים, הסיסמאות מגובבות ומומלחות [hashed and salted]", קוברת החברה את הסיפור במילים טכניות שלא מובנות לרוב הציבור. "המידע עשוי לכלול גם את כתובתכם ומספר הטלפון אם סיפקתם לנו אותם", היא כמו נוזפת בלקוחות חסרי האחריות.
רק בפיסקה השלישית טורחת יוביקוויטי להגיע לעיקר, וגם שם היא כושלת: "כצעד מנע, אנחנו מעודדים אתכם לשנות את הסיסמה שלכם". אלא שחברה שחוששת שהאקרים שמו את ידיהם המטונפות על פרטי התקשרות לא "מעודדת" משתמשים להחליף סיסמה, אלא מאפסת את כל הסיסמאות ומחייבת את הלקוחות לבחור סיסמה חדשה וחזקה. "אנחנו ממליצים שתאפשרו הזדהות דו-שלבית [2FA] בחשבונות היוביקוויטי שלכם אם טרם עשיתם זאת". אוקיי, אבל למה אתם לא מחייבים הזדהות דו-שלבית? "אנחנו ממליצים גם שתחליפו את הסיסמה שלכם בכל אתר שבו אתם משתמשים באותו שם משתמש או סיסמה" – זו דווקא המלצה מצויינת, כי אנשים נוהגים למחזר שמות וסיסמאות בין שירותים שונים, והאקרים יודעים את זה ומנצלים דליפת פרטי התקשרות בשירות אחד לפרוץ לחשבונות בשירותים אחרים – שיטה שנקראת credential stuffing.
יוביקוויטי דיווחה על הפריצה לבורסה בדוח הרבעוני שהגישה חודש לאחר מכן, תחת הסעיף הקבוע "סיכונים הקשורים לעסקים ולתעשייה שלנו" ותת-הסעיף הקבוע "חולשות אבטחה במוצרינו, שירותינו ומערכותינו עלולים להוביל לרווחים מופחתים וטענות נגדנו". החברה ציינה שם שהיא עברה בעבר, וצפוייה לעבור בעתיד, מתקפות סייבר, והביאה, לדבריה כ"דוגמה", את הפריצה הנוכחית. שם היא גם הודתה לראשונה כי ההאקר ניסה לסחוט אותה, בלי לציין את הסכום שדרש, וציינה שכתוצאה מסירובה לשלם, "יש אפשרות שקוד המקור ומידע אחר יפורסם בפומבי או יונגש למתחרינו". עם זאת, "לאור אופי קוד המקור והמידע האחר שאנחנו מאמינים שבוצעה אליו גישה באופן לא-תקין, אנחנו לא מאמינים כרגע שלחשיפה ציבורית כלשהי תהיה השפעה שלילית משמעותית על העסקים או הפעילות שלנו, אך בלתי אפשרי לאמוד את ההשפעה המדוייקת של חשיפה כזאת".
ההשפעה המדוייקת של הפרסום בבלוג Krebs on Security של בראיין קרבז עלתה לחברה בצניחת מנייתה ב-20%, שהם 4 מיליארד דולר, ביום אחד, כך לפי כתב האישום שיוגש מאוחר יותר נגד החשוד בפריצה.
המקור והחשיפה
ב-30 במרץ 21' פרסם עיתונאי הסייבר העצמאי הוותיק קרבז בבלוגו הפופולרי כתבה ביקורתית מאוד (שנמחקה; הנה עותק בארכיון הרשת) על התנהלותה של יוביקוויטי בפריצה תחת הכותרת: "שרקן [whistleblower, חושף שחיתויות]: הפריצה ביוביקוויטי 'קטסטרופלית'". קרבז האשים את החברה בפרסום שקרים ובנסיון לגמד את חומרתה האמיתית של הפריצה, במטרה לצמצם את הפגיעה במנייתה.
בהודעתה ללקוחות, יוביקוויטי ניסתה ליצור את הרושם שההאקרים תקפו "ספק ענן צד ג'", והיא היתה רק קורבן משני – ובכלל, לא ידוע לה שלקוחותיה נפגעו. בניגוד לכך, קרבז טען שהמתקפה כוונה ספציפית ליוביקוויטי; שכדי לממש אותה ההאקרים השיגו פרטי התחברות מחשבון ניהול סיסמאות LastPass של עובד ביוביקוויטי, ובאמצעותם השיגו גישת ניהול לענן של יוביקוויטי אצל אותו "ספק צד ג'"; שהספק הזה הוא AWS, שירותי הענן של אמזון, ושההאקר כלל לא פרץ לאמזון אלא השתמש בפרטי התחברות תקינים של עובד יוביקוויטי; ושהטענה, שאנשיה של החברה ומומחי הסייבר ששכרה לחקור את הפריצה לא זיהו גישה לא מורשית או אפילו נסיון גישה לפרטי הלקוחות, היא אמנם אמת, אבל לא כל האמת – החברה לא יכלה לזהות זאת משום שמדיניות שימור הלוגים שהיו יכולים להעיד על כך קבעה שהם יימחקו אחרי יום אחד בלבד.
קרבז הציג את המקור שלו בשם הבדוי אדם, "מומחה אבטחה ביוביקוויטי שסייע לחברה להגיב לפריצה", ש"דיבר בתנאי שהאנונימיות שלו תישמר מחשש לתגובת תגמול מצד יוביקוויטי". לפי קרבז, אדם פנה עם המידע שבידיו הן לרשויות הגנת המידע האירופיות, הידועות במדיניות קשוחה כלפי פירצות פרטיות של חברות אמריקאיות, והן לקו החם של יוביקוויטי עצמה. הנהלת החברה לא ניצלה את ההזדמנות לחקור את עצמה ולחשוף את הכשלים מיוזמתה – ואדם החליט להדליף את המידע לקרבז.
ההאקר הקאקער
ימים ספורים לפני הפרסום של קרבז פשטו סוכנים פדרליים, חמושים בצו חיפוש, על ביתו של ניקולס שארפ, בן 36 מפורטלנד, אורגון, בחשד שהיה מעורב בפריצה. למרבה המבוכה, שארפ היה מפתח בכיר ביוביקוויטי, ולמרבה עוד יותר מבוכה, היה גם חבר בצוות החקירה הפורנזית הפנימי שהחברה מינתה לחקור את התקרית.
תשעה חודשים לאחר מכן, בדצמבר 21', נעצר שארפ והועמד לדין. בכתב האישום (פדף) מכונה החברה הנפרצת "חברה-1" ("Company-1"), אולם אפשר להבין שמדובר ביוביקוויטי לפי תיאור החברה ופרטי הסיפור, וכן לפי פרופיל הלינקדאין של שארפ, שמעיד שעבד שם כ-cloud lead מאוגוסט 18' עד מרץ 21', החודש שבו בוצע החיפוש בביתו.
כתב האישום מספר ששארפ הגיש בדצמבר 20' מועמדות לעבודה בחברה אחרת (לפי הלינקדאין שלו, אחרי שסיים לעבוד ביוביקוויטי הוא עבר ל-Lytx למשך 10 חודשים, עד שהוגש כתב האישום). למחרת הגשת המועמדות החל בפריצה ליוביקוויטי: הוא התחבר מהאינטרנט הביתי שלו, נכנס עם פרטי המשתמש שלו ביוביקוויטי והוריד מחשבון ה-AWS של החברה מפתח שמאפשר לקבל פרטי התקשרות של משתמשים אחרים. שתי דקות אחר כך התחבר ההאקר, שהסתתר מאחורי שירות Surfshark VPN, לתשתית ה-AWS של החברה, והשתמש באותו מפתח ששארפ הוריד כדי להשיג פרטי התחברות נוספים ל-AWS (אגב, שארפ עבד כמהנדס פיתוח תוכנה באמזון לפני שעבר ליוביקוויטי).
מספר ימים לאחר מכן התחבר ההאקר דרך סרףשארק VPN לחשבון הגיטהאב של יוביקוויטי בחיבור SSH, והריץ פקודות להורדת עותקים של מספר מאגרי קוד למחשבו. בצירוף מקרים מופלא, ממש דקה לפני שההאקר התחבר והחל להוריד 155 מאגרי מידע בנפח של כמה גיגות, שארפ התחבר מהאינטרנט הביתי שלו לאותו חשבון גיטהאב באמצעות פרטי ההתחברות שלו בחברה ואסף את הפרטים הללו.
בערך ב-2:16 בבוקר נעצרה פעולת ההעתקה של ההאקר מגיטהאב, בדיוק כשחיבור האינטרנט הביתי של שארפ נפל. כמו סמיכות הזמנים בין הפעולות של שארפ ושל ההאקר, והשימוש של ההאקר בקבצים ובמידע שהיו בידי שארפ, גם הנפילה וההפסקה שקרתה מיד אחריה – כל אלו עובדות מאוד משכנעות, אבל בשפה המשפטית נקראות ראיות נסיבתיות, כאלו שלא מספיקות להרשיע חשוד בבית המשפט.
כדקה אחרי שחיבור האינטרנט של שארפ חזר, פעולת ההעתקה התחדשה. אבל המחשב של ההאקר, שהתנתק מה-VPN כשהרשת ירדה, לא הספיק להתחבר אליו מיד כשהרשת חזרה, והתחבר לגיטהאב בלי VPN. כתובת ה-IP הביתית של שארפ נרשמה, וזו לא ראייה נסיבתית – זה כבר אקדח מעשן.
כשצוות החקירה הפורנזית של יוביקוויטי גילה שההאקר השתמש בסרףשארק, שארפ, חבר אותו צוות, טען בפני עמיתיו שמעולם לא השתמש בשירות הזה. הוא אמר זאת גם לחוקרי ה-FBI, וכשאלה הטיחו בו שהחשבון בסרףשארק שולם באמצעות חשבון הפייפאל שלו, השיב שמישהו אחר כנראה נכנס לפייפאל שלו לרכוש את השירות. האמירה הזאת הפכה לאחד מסעיפי האישום נגד שארפ: עדות שקר ל-FBI.
אם שארפ יורשע בארבעת סעיפי האישום, העונש המירבי שלו יכול להגיע ל-37 שנות מאסר. לפי הלינקדאין שלו, הוא עובד מאז העמדתו לדין כיועץ עצמאי בתחום התוכנה והענן. יש גם המלצות, למי שרוצה.
מועדון קרב
שארפ היה סוכן כפול. זוכרים שהלוגים ב-AWS של יוביקוויטי נשמרו למשך יום אחד בלבד, מה שמנע מהחברה לאתר נסיונות גישה לקבצי הלקוחות? כתב האישום גורס ששארפ היה זה שקיצר את פרק הזמן של שמירת הלוגים. עוד נטען שם כי ביהירותו, גם אחרי החיפוש בביתו, ניהל שארפ קמפיין תקשורתי בעילום שם לחשיפת התנהלות החברה כדי לפגוע בה. כלומר, ניקולאס שארפ היה בו זמנית עובד יוביקוויטי וההאקר שפרץ אליה; ביד אחת שיבש את יכולת החברה לנתח כראוי את הפריצה, וביד השנייה הדליף לתקשורת את חוסר היכולת הזה והשלכותיו.
לטובת מי שעדיין לא חיבר את הנקודות – "אדם", המקור של העיתונאי בראיין קרבז, הוא ניקולאס שארפ.
"אחרי שה-FBI ביצע חיפוש בביתו בקשר לגניבה, שארפ, שהתחזה לשרקן חברה אנונימי, שתל ידיעות חדשותיות מזיקות, שטענו באופן שקרי כי הגניבה בוצעה על ידי האקר, שנעזר בחולשה במערכות המחשב של החברה", אמר התובע הפדרלי דיימיאן וויליאמס בהודעה לעיתונות של משרד המשפטים האמריקאי. בכתב האישום נטען כי שארפ "גרם לפרסם ידיעות חדשותיות שקריות או מטעות על התקרית ועל גילויין והתגובה של חברה-1 לתקרית. שארפ הזדהה כמקור אנונימי בחברה-1 שעבד על טיפול בתקרית. בפרט, שארפ העמיד פנים שחברה-1 נפרצה על ידי עבריין בלתי מזוהה שהשיג באופן זדוני הרשאות רוט של מנהל לחשבונות ה-AWS של חברה-1. למעשה, כפי ששארפ ידע היטב, שארפ לקח את הנתונים של חברה-1 תוך שימוש בפרטי התחברות שהיתה לו גישה אליהם מתוקף תפקידו כמנהל ענן AWS בחברה-1, ושארפ השתמש במידע הזה בנסיון כושל לסחוט מיליוני דולרים מחברה-1".
בעוד ה-FBI והתובע הפדרלי מדברים על "ידיעות חדשותיות" שהתפרסמו ב"עיתונות" ב-30.3.2021, הם לא נוקבים בשם המפורש. זה יופיע רק בתביעת הדיבה של יוביקוויטי נגד קרבז, שהוגשה בימים האחרונים, בדיוק שנה אחרי הפרסום הקטלני: "אין שום ראיה שתתמוך בטענות של קרבז; אכן, רק מקור אחד דחף את הסיפור השקרי הזה נגד יוביקוויטי: ניקולאס שארפ, עובד יוביקוויטי שעמד מאחורי מתקפת הסייבר. [ההדגשות במקור]".
נוכל הגיטהאב
הנראטיב של יובקוויטי גורס שהעיתונאי קרבז וההאקר שארפ שיתפו פעולה: שארפ השתמש בפרסום של קרבז לנקום בחברה על סירובה לשלם לו כופר, וללחוץ עליה לשנות את דעתה בנושא; קרבז השתמש בסיפור הסנסציוני והשקרי של שארפ להביא עוד גולשים לאתרו ולהגדיל את הכנסותיו מפרסום.
שארפ מן הסתם לא הדליף את הסיפור כשומרוני טוב שרוצה בטובת הציבור. "לא רק שהוא לכאורה עבר על מספר חוקים פדרליים", אמר מייקל ג'יי. דריסקול, עוזר מנהל ב-FBI, בהודעת משרד המשפטים, "הוא תיזמר שחרור מידע לעיתונות כשדרישות הכופר שלו לא מולאו". התביעה של יוביקוויטי מייחסת לשארפ תכנון קפדני: "ברגע ששארפ הבין שהוא נחקר על ידי ה-FBI, הוא ידע שהוא צריך אסטרטגיה חדשה. אז הוא החליט לחבור לבראיין קרבז – עיתונאי עם נראטיב שנקבע מראש נגד יובקוויטי – להאשים לשווא את יובקוויטי בהטעייה מכוונת של המשקיעים, הלקוחות והציבור כדי לגמד את מתקפת הכופר ולנפח באופן שקרי את מחיר מניית יובקוויטי ושווי השוק שלה".
"בעוד הקירות סוגרים עליו אחרי פשיטת ה-FBI", מתארת התביעה בסגנון דרמטי, שכאילו נכתב במיוחד לתסריט של הסרט שיופק על הפרשה, "שארפ רקח תוכנית חדשה להתחזות ל'שרקן' כדי לתקוף את יוביקוויטי ולהאשים את החברה בעבירה על חוקי ניירות ערך בכך שהגיבה על מזימת הסחיטה. שארפ ייצר את השקר הזה כדי לנסות להסתיר את העובדה שהוא, עצמו, היה אחראי לפריצה ולסחיטה של יוביקוויטי. כחלק מהתוכנית הזאת, שארפ ביקש ליצור נראטיב שקרי בתקשורת על ידי יצירת קשר עם עיתונאים שמסקרים טכנולוגיה וסייבראבטחה, ולהתחזות למודיע 'שרקן' שיספק לעיתונאים מידע פנימי שערורייתי על המעשים הלא-ראויים לכאורה של יוביקוויטי. […] לקרבז לא היו ראיות שמעידות שהסיפור של שארפ נכון מכיוון שראיות כאלו לא קיימות […]הבלוג של קרבז קירבן את יובקוויטי בשנית על שהיתה המטרה של מתקפת הסייבר של שארפ".
החברה מאשימה את קרבז שגם אחרי שקרא את ההודעה לעיתונות של משרד המשפטים והבין שהמקור היחיד שלו נאשם במעורבות פלילית במתקפת הסייבר – במקום לחזור בו ולהתנצל הוא פרסם למחרת ידיעת מעקב על כתב האישום, שבה הוא עומד מאחורי "האשמות השווא שלו נגד יוביקוויטי, ומטעה בכוונה את קוראיו להאמין שדיווחו הקודם מקורו לא בשארפ, ההאקר מאחורי המתקפה". "למרות עובדות מכריעות שמראות שהדיווח שלו הוא בדיוני לגמרי", ממשיך כתב התביעה, "קרבז סירב לחזור בו מהסיפור או לתקן את קמפיין הדיסאינפורמציה נגד יוביקוויטי".
החבר'ה התובעים
שני הצדדים עומדים על כך שנהגו כשורה. יוביקוויטי כתבה בתביעה כי "קרבז האשים לשווא את החברה ב'הסתרה' של מתקפת סייבר על ידי הטעיה מכוונת של הלקוחות לגבי אותה 'פריצת' מידע ונסיון הסחיטה שלאחריה תוך הפרת חוקים פדרליים ותקנות [רשות ני"ע האמריקאית] SEC. ההיפך הוא הנכון: יוביקוויטי מיהרה להודיע ללקוחותיה על המתקפה והדריכה אותם לנקוט באמצעי מנע אבטחתיים נוספים כדי להגן על המידע שלהם. יובקוויטי אפילו הודיעה על כך לציבור בהודעה הבאה שלה ל-SEC".
החברה מודה שלא סיפרה את הסיפור המלא בזמן אמת, ומסבירה: "ליוביקוויטי, בעודה נתונה בחורבן שגרם הדיווח של קרבז, ובמאמץ לא לסכן את האופי החשאי של החקירה הפלילית סביב שארפ, לא היתה ברירה אלא לשבת ולחכות עד עד שהרשויות הפדרליות סגרו על שארפ".
קרבז לא חזר בו מהפרסום. אחרי שנודע דבר המעצר וכתב האישום, אחד ממשתמשי טוויטר כתב "לעזאזל, אז בראיין קרבז הולך שולל בידי עובד לשעבר שניסה לסחוט את החברה שלו, וזה הוביל להפסדים לחברה במיליארדי דולרים". כתב התביעה מצטט את תשובת קרבז: "מקריאת הסיפור המקורי שלי ממרץ וכתב האישום של המדינה, נראה שהעובדות בכתבה היו מדוייקות. הסיפור מעולם לא התייחס לשאלה מי עשוי היה להיות אחראי [לפריצה]".
טבעי שקרבז מתקשה להודות בטעות שלו – הסתמכות על מקור יחיד, שהפך אותו לפיון במזימת פריצה וסחיטה. מובנת גם הדילמה האתית העיתונאית – האם לחשוף זהות של מקור שסיפר רק חלק מהאמת, שיקר ו/או עשה מניפולציה על העיתונאי; לכל אורך הסיפור, גם אחרי התביעה, קרבז לא מאשר ששארפ היה המקור שלו.
מובן גם הקושי של יובקוויטי להודות בטעויות – הדרך שבה בחרה לשתף את המידע בצורה מקטינה ומטשטשת; מהות המידע שבחרה להסתיר או לעכב; התנהלותה הלא-מספיק-חירומית במצב חירום שעלול היה לסכן את לקוחותיה; ההפרדה המשונה שהיא מנסה ליצור בין מתקפה חיצונית לפנימית, כאילו משנה ללקוחות אם גנב המידע הוא עובד לשעבר או חברה מתחרה; התעקשותה להציג את עצמה כקורבן, במקום לבדוק איך זה שעובד סורר אחד מחזיק בידיו די כוח והרשאות לבצע מתקפה כזאת, ומצליח לשאוב כמויות אדירות של מידע בלי שאף מערכת אבטחת מידע בסיסית מזהה את ההתנהגות החריגה וחוסמת אותה, עד שעובד אחר מבחין בכך.
תדמיתית, תביעת דיבה של חברה ששווה מיליארדים נגד עיתונאי עצמאי תיתפס כבריונות ונסיון לסתום פיות של מבקרים. משרד עורכי הדין של יוביקוויטי מתגאה באתרו בייצוג לקוחות נגד שורה ארוכה ומכובדת של כלי תקשורת, והחברה תובעת מקרבז יותר מ-425 אלף דולר לא כולל הוצאות משפט ושכר טירחה. כפי שצייץ כלכלן הענן קורי קווין ל-83.6 אלף עוקביו: "תחשבו על כל הספרים שקראתם, הסרטים שראיתם. מה התכיפות שבה אנשים שתובעים עיתונאי מוצגים כחבר'ה הטובים בסיפור?"
הסיפור נכתב עבור סייטקטיק, חברה להיערכות וניהול משברי סייבר, ומתפרסם (חלק א', חלק ב') ב"קפטן אינטרנט" של "הארץ", וגם כאן בבלוג של סייברסייבר
[עדכון] ב-31.8.2022, בראיין קרבז חזר בו מהפרסום:
המקור היחיד שלי לדיווח ההוא היה האדם שמאז הורשע על ידי תובעים פדרליים במעשים הלא-רואיים לכאורה – שכללו הזנת מידע שקרי לתקשורת.
כתוצאה ממידע חדש שסופק לי, כבר אין לי אמון באמינות המקור שלי או המידע שהוא סיפק לי. […] הפעם פספסתי את המטרה, וכתוצאה מכך, אני רוצה לשלוח את התנצלותי הכנה ליוביקוויטי, והחלטתי להסיר את הכתבות הללו מהאתר שלי.
עידו קינן הוא סמנכ"ל התוכן של סייטקטיק, חברה לייעוץ וניהול משברי סייבר. הכתבה התפרסמה במקור בשני חלקים במדור קפטן אינטרנט של "הארץ" ובפודקאסט הפופולרי סייברסייבר ע05פ01 – "מועדון קרבז". תמונת שער: בראיין קרבז וניקולאס שארפ על רקע מוצרים של יוביקוויטי 🖼️ קרבז: Krebs on Security; שארפ: לינדקאין; ציוד: אתר יוביקוויטי