Dwaj bracia, zatrudnieni przez firmę obsługującą amerykańskie instytucje rządowe, po utracie pracy postanowili się zemścić i w ciągu kilku godzin usunęli dziesiątki baz danych zawierających wrażliwe informacje.
Sprawa dotyczy braci Akhter, którzy pracowali dla firmy Opexus – kontraktora obsługującego ponad 45 agencji rządowych w Stanach Zjednoczonych. Gdy przedsiębiorstwo zdecydowało się zakończyć z nimi współpracę, wydarzenia potoczyły się błyskawicznie.
Zaledwie kilka minut po zwolnieniu jeden z braci rozpoczął działania odwetowe. W ciągu sześciu minut zablokował dostęp do systemów innym użytkownikom, a następnie przystąpił do kasowania danych. W krótkim czasie zniknęło około 96 baz danych, obejmujących m.in. dokumenty związane z ustawą o dostępie do informacji publicznej oraz materiały z federalnych dochodzeń.
Skala incydentu była ogromna – mówimy o systemach, które obsługiwały newralgiczne procesy administracji publicznej.
Próba zatarcia śladów… przy pomocy AI
To, co wydarzyło się później, tylko pogłębia absurd całej sytuacji. Z ustaleń śledczych wynika, że bracia nie byli szczególnie zaawansowanymi hakerami. Po dokonaniu zniszczeń zaczęli zastanawiać się, jak uniknąć odpowiedzialności.
Jeden z nich miał zapytać chatbota AI, w jaki sposób wyczyścić logi systemowe, aby zatrzeć ślady swojej działalności. Co więcej, ich komunikacja została w jakiś sposób zarejestrowana i później wykorzystana jako dowód w sprawie.
To pokazuje, jak często cyberprzestępstwa nie wynikają z wyrafinowanych umiejętności technicznych, lecz z dostępu do systemów i braku odpowiednich zabezpieczeń.
Firma sama stworzyła sobie zagrożenie
Najbardziej zaskakujący w tej historii jest jednak fakt, że pracodawca miał wszelkie powody, by nie zatrudniać tych osób. Bracia już wcześniej byli skazani za cyberprzestępstwa.
W 2015 roku przyznali się do włamań na strony internetowe, kradzieży danych kart kredytowych oraz prób sprzedaży informacji w darknecie. Działali także wewnątrz instytucji rządowych, instalując sprzęt umożliwiający monitorowanie systemów.
Mimo to firma Opexus przeprowadziła – jak twierdzi – szczegółowe sprawdzenie przeszłości i zdecydowała się ich zatrudnić. Jak później przyznano, procedury nie były wystarczająco dokładne.
Jeden błąd wystarczył
Jeszcze bardziej problematyczny okazał się sposób przeprowadzenia zwolnienia. Podczas rozmowy wideo firma odebrała dostęp do systemów jednemu z braci, ale… zapomniała o drugim.
Ten drobny błąd okazał się katastrofalny w skutkach. Niezablokowany pracownik w ciągu kilku minut przejął kontrolę nad systemami i rozpoczął ich niszczenie.
Dodatkowo zdążył wykraść ponad 1800 plików z amerykańskiej komisji ds. równych szans zatrudnienia oraz dane podatkowe setek osób.
Finał w sądzie
Sprawa zakończyła się w sądzie federalnym. Jeden z braci został uznany winnym m.in. spisku w celu popełnienia oszustwa komputerowego oraz handlu hasłami dostępowymi. Drugi wcześniej zawarł ugodę, choć – jak donoszą media – próbuje się z niej wycofać i reprezentować samego siebie.
Lekcja dla całej branży
Ten incydent to podręcznikowy przykład tego, jak nie zarządzać bezpieczeństwem w organizacji operującej na wrażliwych danych. Wystarczyło kilka zaniedbań: niedokładna weryfikacja pracowników, brak natychmiastowego odebrania dostępu oraz niewystarczające procedury kontroli.
Efekt? Utrata kluczowych danych i poważny kryzys bezpieczeństwa.
W świecie, w którym coraz więcej systemów opiera się na cyfrowych zasobach, takie błędy mogą kosztować znacznie więcej niż tylko reputację.
Foto: ChatGPT Image/AI.