事件概述
2025年2月18日,美国华盛顿特区一对双胞胎兄弟Muneeb和Sohaib Akhter在被雇主解雇后的几分钟内,删除了96个存储美国政府信息的数据库。这起事件近日被Ars Technica等多家媒体详细报道,成为IT安全领域的一个经典反面教材。
事件经过
Akhter兄弟就职于一家为45个联邦政府客户提供软件和服务的公司。两人此前就有犯罪前科——2015年因电信诈骗和计算机犯罪在弗吉尼亚州认罪,Muneeb被判三年监禁,Sohaib被判两年。
2025年2月18日下午4点50分,兄弟二人通过Microsoft Teams会议被同时解雇。仅仅5分钟后,Sohaib就试图访问前雇主的网络,但发现自己的VPN和Windows账号已被注销。
然而Muneeb的账号被遗漏了。
下午4点56分,Muneeb利用其仍有效的账号访问了美国政府数据库,执行命令阻止其他用户连接或修改数据库,然后下达了删除命令。在接下来的几分钟内,他连续删除了96个数据库。
更早的问题
调查显示,这对兄弟的问题远不止被解雇后的报复行为:
- Muneeb此前已收集了5400个公司网络中的用户名和密码
- 他编写了Python脚本(如marriott_checker.py)测试这些凭据在常见网站上的有效性
- 成功登录了数百个账户,包括DocuSign和航空公司账户
- 甚至用盗取的航空里程为自己预订旅行
- Sohaib曾利用职权从EEOC(平等就业机会委员会)数据库中查询投诉人的明文密码,供Muneeb未经授权访问其邮箱
法律后果
两兄弟目前面临多项联邦指控。如果罪名成立,考虑到他们此前的犯罪记录和对政府系统的蓄意破坏,可能面临相当长的刑期。
对站长的警示
这起事件给所有管理服务器和数据库的站长敲响了警钟:
1. 解雇前必须先注销账号——”先断网再通知”是基本安全操作。很多公司先开除员工再慢慢关闭账号,这给了被解雇员工一个窗口期。
2. 最小权限原则——员工不应拥有超出工作需要的权限。一个普通员工不应该能删除96个生产数据库。
3. 账号清单管理——离职流程必须有完整的账号注销清单,包括VPN、数据库、云服务、第三方工具等所有入口。
4. 操作日志和告警——大规模数据库删除操作应该触发实时告警,而不是事后才发现。
5. 数据备份——即使发生了恶意删除,完善的备份策略可以将损失降到最低。
简评
这起事件看似极端,但背后反映的问题非常普遍。很多中小企业在员工离职管理上存在严重漏洞,尤其是技术人员往往拥有过多权限。站长在管理自己的服务器时,也应注意定期审计账号权限,做好备份,设置关键操作告警。
暂无评论内容