Nội dung bài viết
Một nghiên cứu điển hình về lý do tại sao thông tin xác thực bị thu hồi trước khi sa thải.
Ở Hoa Kỳ, những người lao động bị sa thải và sa thải thường bị vô hiệu hóa thông tin xác thực kỹ thuật số trước khi họ biết về việc mất việc làm; thực sự, việc không thể đăng nhập vào hệ thống công ty có thể là trường hợp đầu tiên nhân viên biết về tình huống này.
Mặc dù không phải là một cách tiếp cận hào phóng hay nhân đạo để cắt giảm nhân sự, nhưng nó xuất phát từ một thực tế đơn giản là một nhân viên bị sa thải có quyền truy cập vào hệ thống của công ty là một rủi ro bảo mật.
Chỉ cần hỏi anh em song sinh Akhter, bị buộc tội xóa sạch 96 cơ sở dữ liệu lưu trữ thông tin của chính phủ Hoa Kỳ trong vài phút sau khi cả hai bị sa thải vào năm ngoái khỏi người chủ chung của họ. Muneeb và Sohaib Akhter, hiện đều 34 tuổi, từng gặp rắc rối trước đây.
Trở lại năm 2015, hai anh em đã nhận tội ở Virginia về một âm mưu liên quan đến lừa đảo qua đường dây và máy tính. Muneeb bị kết án ba năm tù, trong khi Sohaib bị hai năm.
Sau thời gian ngồi tù, hai anh em quay trở lại thế giới công nghệ. Năm 2023, Muneeb nhận được công việc tại một công ty ở Washington, DC, chuyên bán phần mềm và dịch vụ cho 45 khách hàng liên bang; Sohaib nhận được việc làm tại công ty đó một năm sau đó.
Tuy nhiên, theo chính phủ, cả hai không thể đứng ngoài cuộc rắc rối.
Ví dụ: Vào ngày 1 tháng 2 năm 2025, Muneeb Akhter đã yêu cầu Sohaib Akhter cung cấp mật khẩu văn bản gốc của một cá nhân đã gửi đơn khiếu nại tới Cổng thông tin công cộng của Ủy ban Cơ hội Việc làm Bình đẳng, do chủ lao động của Akhters duy trì.
Sohaib Akhter đã tiến hành truy vấn cơ sở dữ liệu trên cơ sở dữ liệu EEOC và sau đó cung cấp mật khẩu cho Muneeb Akhter. Mật khẩu đó sau đó đã được sử dụng để truy cập trái phép vào tài khoản email của cá nhân đó.
Đây không phải là một lần. Muneeb đã tập hợp tên người dùng và mật khẩu, 5.400 trong số đó được lấy từ dữ liệu mạng của chính công ty anh.
Sau đó, anh ấy đã xây dựng các tập lệnh Python tùy chỉnh để thử các thông tin đăng nhập này trên các trang web phổ biến; ví dụ: ứng dụng “marriott_checker.py” của anh ấy đã kiểm tra thông tin đăng nhập vào chuỗi khách sạn của Marriott.
Muneeb đã đăng nhập thành công hàng trăm lần, bao gồm cả tài khoản DocuSign và hãng hàng không. Đôi khi, nếu nạn nhân đã tích trữ số dặm bay, Muneeb sẽ tự mình đặt chuyến đi.
Người chủ của hai anh em dường như đã biết về quá khứ phạm tội của họ vào một thời điểm nào đó trong tháng Hai. Vào ngày 18 tháng 2 năm 2025, hai anh em—sống cùng nhau ở Virginia—cả hai đều được gọi tham gia một cuộc họp Microsoft Teams và cuối cùng màu đỏ.
Cuộc gọi diễn ra vào cuối ngày, kết thúc lúc 4h50 chiều. Năm phút sau, Sohaib đã cố gắng truy cập vào mạng của người chủ (hiện là cũ) của mình nhưng nhận thấy rằng quyền truy cập VPN và tài khoản Windows của anh ấy đã bị chấm dứt.
Tuy nhiên, lời kể của Muneeb đã bị bỏ qua và anh ta ngay lập tức bắt tay vào một chiến dịch hủy diệt. Lúc 4:56 chiều, Muneeb truy cập cơ sở dữ liệu của chính phủ Hoa Kỳ mà công ty của ông duy trì.
Chính phủ cho biết anh ta “đã ra lệnh ngăn chặn những người dùng khác kết nối hoặc thực hiện các thay đổi đối với cơ sở dữ liệu, sau đó ra lệnh xóa cơ sở dữ liệu”.
Vào lúc 4:58 chiều, anh ta xóa sạch cơ sở dữ liệu của Bộ An ninh Nội địa bằng lệnh “DROP DATABASE dhsproddb.” Lúc 4:59 chiều, anh ấy hỏi một công cụ AI, “Làm cách nào để xóa nhật ký hệ thống khỏi máy chủ SQL sau khi xóa cơ sở dữ liệu?” Sau đó anh ấy hỏi: “Làm cách nào để xóa tất cả nhật ký sự kiện và ứng dụng khỏi máy chủ Microsoft Windows 2012?” Chỉ trong vòng một giờ, Muneeb đã xóa khoảng 96 cơ sở dữ liệu có thông tin của chính phủ Hoa Kỳ.
Anh ta đã tải xuống 1.805 tệp thuộc EEOC và lưu trữ chúng vào ổ USB, sau đó lấy thông tin thuế liên bang của ít nhất 450 người. Trong khi việc này đang diễn ra, hai anh em đã tổ chức một cuộc hợp tác điều hành.
nversation. (Chính phủ không rõ liệu việc này diễn ra qua tin nhắn, tin nhắn tức thời hay gặp trực tiếp.) “Tôi thấy bạn đang dọn sạch các bản sao lưu cơ sở dữ liệu của họ,” Sohaib nói khi quan sát công việc của Muneeb.
Khi danh sách nạn nhân trong cơ sở dữ liệu ngày càng tăng, Sohaib nói, "Được rồi—nếu bạn có khả năng từ chối hợp lý."
Gợi ý thực hành:
1. Theo dõi thông báo từ cơ quan địa phương tại California.
2. Kiểm tra nguồn chính thức trước khi chia sẻ lại thông tin.