Anh em sinh đôi xóa 96 cơ sở dữ liệu chính phủ vài phút sau khi bị sa thải

 (arstechnica.com)
1 điểm bởi GN⁺ 9 giờ trước | 1 bình luận | Chia sẻ qua WhatsApp
  • Muneeb Akhter và Sohaib Akhter bị cáo buộc đã xóa 96 cơ sở dữ liệu của chính phủ Mỹ bằng cách lợi dụng quyền truy cập tài khoản còn sót lại ngay sau khi bị sa thải
  • Hai người này trước đó từng nhận tội về các hành vi gian lận qua viễn thông và tội phạm máy tính, rồi vào làm tại một công ty ở Washington, DC bán dịch vụ cho 45 khách hàng liên bang
  • Muneeb thu thập 5.400 tên người dùng và mật khẩu lấy từ mạng nội bộ công ty, rồi dùng script Python để thử đăng nhập vào DocuSign, các hãng hàng không, Marriott và nhiều dịch vụ khác
  • Vào ngày 18/2/2025, 5 phút sau khi bị sa thải, VPN và tài khoản Windows của Sohaib đã bị khóa, nhưng tài khoản của Muneeb vẫn còn hoạt động, cho phép chạy lệnh DROP DATABASE dhsproddb
  • Sau khi nhận tội, Muneeb nêu vấn đề về việc bào chữa và khẳng định vô tội với một số cáo buộc; Sohaib thì bị kết tội âm mưu gian lận máy tính, mua bán mật khẩu và tàng trữ súng

Vì sao cần khóa tài khoản trước khi sa thải

  • Tại Mỹ, thông tin xác thực số của người bị sa thải hoặc cắt giảm nhân sự thường bị vô hiệu hóa trước khi họ được thông báo
  • Việc không thể đăng nhập vào hệ thống đôi khi là dấu hiệu đầu tiên cho biết quan hệ lao động đã chấm dứt, nhưng quy trình này tồn tại vì nhân viên bị sa thải vẫn còn quyền truy cập hệ thống có thể trở thành rủi ro bảo mật
  • Vụ việc của cặp anh em sinh đôi Muneeb Akhter và Sohaib Akhter cho thấy vài phút quyền truy cập còn sót lại ngay sau khi bị sa thải có thể gây ra thiệt hại như thế nào

Bối cảnh của anh em nhà Akhter và quyền truy cập

  • Muneeb Akhter và Sohaib Akhter hiện đều 34 tuổi, từng nhận tội vào năm 2015 tại Virginia trong một âm mưu liên quan đến gian lận qua viễn thông và tội phạm máy tính
  • Muneeb bị tuyên án 3 năm tù, còn Sohaib bị tuyên án 2 năm tù
  • Sau khi ra tù, Muneeb vào làm tại một công ty ở Washington, DC vào năm 2023, và Sohaib gia nhập cùng công ty một năm sau đó
  • Công ty này bán phần mềm và dịch vụ cho 45 khách hàng liên bang
  • Theo chính phủ Mỹ, vào ngày 1/2/2025, Muneeb đã yêu cầu Sohaib cung cấp mật khẩu dạng văn bản thuần của một người nộp khiếu nại trên EEOC Public Portal
    • Sohaib đã chạy truy vấn trên cơ sở dữ liệu EEOC và cung cấp mật khẩu đó cho Muneeb
    • Mật khẩu này sau đó được dùng để truy cập trái phép vào tài khoản email của người đó

Thu thập thông tin xác thực và các lần thử đăng nhập tự động

  • Muneeb đã thu thập 5.400 tên người dùng và mật khẩu lấy từ dữ liệu mạng nội bộ công ty
  • Anh ta tạo một script Python tùy chỉnh để thử các thông tin đăng nhập này trên những website phổ biến
  • marriott_checker.py là một ứng dụng dùng để thử đăng nhập vào hệ thống của chuỗi khách sạn Marriott
  • Muneeb đã đăng nhập thành công hàng trăm lần, bao gồm vào DocuSign và tài khoản của các hãng hàng không
  • Nếu trong tài khoản nạn nhân có dặm bay thưởng, Muneeb thậm chí còn dùng chúng để đặt chuyến đi cho chính mình

Xóa cơ sở dữ liệu ngay sau khi bị sa thải

  • Có vẻ như trong tháng 2, nhà tuyển dụng của hai anh em đã biết được tiền án của họ
  • Vào ngày 18/2/2025, hai anh em đang sống cùng nhau tại Virginia được gọi chung vào một cuộc họp Microsoft Teams và bị sa thải ngay lập tức
  • Cuộc họp kết thúc lúc 4 giờ 50 phút chiều, đúng vào cuối ngày làm việc
  • 5 phút sau, Sohaib cố truy cập vào mạng của công ty cũ, nhưng quyền truy cập VPN và tài khoản Windows của anh ta đã bị chấm dứt
  • Tài khoản của Muneeb lại không nằm trong diện bị khóa, và anh ta lập tức truy cập vào cơ sở dữ liệu của chính phủ Mỹ
  • Lúc 4 giờ 56 phút chiều, Muneeb chạy một lệnh ngăn người dùng khác kết nối hoặc thay đổi cơ sở dữ liệu, rồi thực hiện lệnh xóa cơ sở dữ liệu
  • Lúc 4 giờ 58 phút chiều, anh ta xóa cơ sở dữ liệu của Department of Homeland Security bằng lệnh DROP DATABASE dhsproddb
  • Lúc 4 giờ 59 phút chiều, anh ta hỏi một công cụ AI rằng: “sau khi xóa cơ sở dữ liệu thì làm thế nào để xóa log hệ thống của SQL Server”
  • Sau đó anh ta còn hỏi tiếp: “làm thế nào để xóa tất cả event log và application log trên Microsoft Windows Server 2012”
  • Trong vòng một giờ, Muneeb đã xóa khoảng 96 cơ sở dữ liệu chứa thông tin của chính phủ Mỹ
  • Anh ta tải xuống 1.805 tệp thuộc sở hữu của EEOC và lưu vào USB, đồng thời lấy đi cả thông tin thuế liên bang của ít nhất 450 người

Trao đổi giữa hai anh em và nỗ lực che giấu

  • Trong lúc việc xóa dữ liệu diễn ra, hai người vẫn liên tục trao đổi, nhưng chính phủ không nêu rõ đó là tin nhắn văn bản, tin nhắn tức thời hay nói chuyện trực tiếp
  • Sohaib nói khi nhìn thao tác của Muneeb: “Tao thấy mày đang dọn dẹp backup cơ sở dữ liệu của họ”
  • Khi số cơ sở dữ liệu bị xóa tăng lên, Sohaib nói: “Được đấy, miễn là còn khả năng phủ nhận hợp lý”
  • Muneeb đáp: “Có thể khôi phục từ bản backup của hôm qua”, và Sohaib trả lời: “Ừ, đúng là có thể”
  • Sohaib đề xuất: “Hay xóa cả file system luôn?”, còn Muneeb đáp lại: “Ý hay đấy
  • Sohaib nói: “Đáng lẽ phải có kill script. Kiểu như đe dọa tống tiền ấy—”, còn Muneeb đáp: “Không, không nên làm thế, như vậy là bằng chứng phạm tội”
  • Sau khi xóa cơ sở dữ liệu và event log, hai anh em đã nhờ một đồng phạm không được nêu tên giúp cài lại hệ điều hành cho laptop công ty

Khám xét, truy tố và kết quả xét xử

  • Cuộc khám xét thực tế của cơ quan điều tra liên bang diễn ra 3 tuần sau vụ sa thải và xóa dữ liệu
  • Ngày 12/3/2025, lệnh khám xét được thi hành tại nhà của Sohaib ở Alexandria
  • Các điều tra viên thu giữ nhiều thiết bị công nghệ, đồng thời phát hiện 7 khẩu súng và 370 viên đạn cỡ .30
  • Do có tiền án, Sohaib không được phép sở hữu những khẩu súng và số đạn này
  • Trong khi cuộc điều tra tiếp diễn, hai anh em vẫn được tự do thêm 9 tháng nữa, nhưng đến ngày 3/12 thì bị bắt và bị truy tố với nhiều tội danh
  • Bản cáo trạng có thể xem trong tài liệu CourtListener
  • Muneeb ký thỏa thuận nhận tội vào ngày 15/4/2026, thừa nhận các cáo buộc trọng yếu trong bản cáo trạng
  • Sohaib ra tòa xét xử nhưng thua kiện
  • Ngày 7/5/2026, bồi thẩm đoàn kết luận Sohaib có tội với các cáo buộc âm mưu gian lận máy tính, mua bán mật khẩu và tàng trữ súng khi thuộc diện bị cấm
  • Việc tuyên án của Sohaib được ấn định vào tháng 9

Thư viết từ trong tù của Muneeb và tranh cãi quanh việc nhận tội

  • Từ trong tù, Muneeb nộp một đơn viết tay, cho rằng luật sư bào chữa của mình làm việc không hiệu quả
  • Các văn bản nộp sau đó còn đặt vấn đề với chính việc nhận tội mà Muneeb đã ký
  • Trong lá thư một đoạn gửi thẩm phán ngày 27/4, Muneeb viết: “Cầu Chúa dẫn dắt lời tôi”
    • Anh ta viết rằng mình “không thoải mái với tốc độ mà chính phủ mong đợi việc ký kết nhanh chóng cùng việc nhận tội của tôi, trong khi họ hạn chế khả năng phản bác chứng cứ trong thời hạn nộp kiến nghị trước phiên tòa”
    • Anh ta nói thêm: “Tôi ủng hộ sự vô tội của anh trai tôi”, nhưng vài ngày sau Sohaib đã bị tuyên có tội
  • Một lá thư viết tay ngắn khác nộp ngày 5/5 cho thấy Muneeb khẳng định mình vô tội ở cáo buộc số 10
    • Lý do là “quyền truy cập vào tài khoản DocuSign không mang lại thứ gì có giá trị, và anh ta cũng không nhận được hay có ý định nhận bất kỳ thứ gì có giá trị từ đó”
    • Lá thư này không đề cập đến việc xóa 96 cơ sở dữ liệu
  • Trong lá thư thứ ba nộp ngày 5/5, Muneeb đề nghị được phép tự bào chữa theo diện pro se

Nhà tuyển dụng Opexus và thất bại về quy trình

  • Trong hồ sơ tòa án, tên công ty tuyển dụng hai anh em không được công bố, nhưng các bản tin xác định đó là Opexus
  • Opexus đã đưa ra lập trường về vụ việc này với Cyberscoop vào tháng 12
  • Opexus cho biết họ đã kiểm tra lý lịch, nhưng thừa nhận rằng lẽ ra phải áp dụng “biện pháp thẩm định bổ sung
  • Công ty cũng thừa nhận rằng “việc sa thải đã không được xử lý theo cách phù hợp”
  • Công ty cho biết “các quản lý tuyển dụng chịu trách nhiệm tuyển cặp sinh đôi này không còn làm việc tại Opexus nữa”
  • Từ tuyển dụng, kiểm tra lý lịch, quy trình sa thải cho đến khóa tài khoản, mọi thứ kết hợp lại thành một thất bại toàn diện

Bài viết liên quan

1 bình luận

 
GN⁺ 9 giờ trước
Ý kiến trên Hacker News

  • Đoạn Opexus nói rằng “những người chịu trách nhiệm tuyển cặp song sinh này không còn làm việc tại Opexus nữa” nghe gần giống câu thoại kinh điển của Monty Python: “những người chịu trách nhiệm sa thải những người vừa bị sa thải cũng đã bị sa thải”
    Nói vui vậy thôi, nhưng tôi lo nhiều nhà tuyển dụng sẽ chỉ rút ra bài học cực đoan và vô nhân đạo nhất từ những vụ như thế này. Ví dụ như làm cho việc sa thải và cắt giảm nhân sự diễn ra đột ngột tối đa rồi cắt quyền truy cập ngay lập tức, hoặc tuyệt đối không cho cơ hội thứ hai nếu ai đó có tiền án, kể cả chuyện như tàng trữ cần sa từ hàng chục năm trước
    Tôi nghĩ một cách tiếp cận cân bằng hơn sẽ tốt hơn. Nói chung nên hạn chế quyền truy cập một phía vào các hệ thống nhạy cảm, không chỉ với người vừa bị sa thải, và khi cho nghỉ việc thì cần cắt ngay các thông tin xác thực đặc biệt nhạy cảm, nhưng không nhất thiết phải xóa sạch mọi đăng nhập thông thường hay tài khoản email. Đừng tuyển người từng bị kết án lừa đảo chuyển khoản làm quản trị hệ thống, và làm ơn hãy băm mật khẩu

    • Trong cuộc họp thông báo sa thải, việc cắt quyền truy cập trước khi đương sự biết và thay mật khẩu nếu cần đã là quy trình tiêu chuẩn suốt ít nhất 20 năm
    • Với người có mức quyền truy cập như vậy, không “sa thải càng đột ngột càng tốt và cắt quyền truy cập ngay lập tức” mới là bất tài. Với các vị trí kiểu này thì đó hoàn toàn là tiêu chuẩn và bắt buộc phải làm vậy
      Ở những nơi tôi từng làm, hầu hết nhân viên IT luôn bị xử lý như thế. Trong lúc họp với HR thì sẽ có người dọn bàn làm việc, và nhân viên an ninh sẽ hộ tống ra ngoài
    • Bây giờ họ vẫn đã làm như thế rồi
      Ở Mỹ, họ cắt quyền truy cập từ phía sau trong lúc họp Teams, và nếu hồ sơ có khoảng trống, vấn đề hay chỉ một vết xước nhỏ nào đó thì một AI agent nào đó sẽ quẳng ngay vào thùng rác
    • Trong thời đại AI dạng agent độc hại, trao mức quyền truy cập như thế này là cẩu thả. Nếu không có các kiểm soát kỹ thuật để ngăn chuyện này xảy ra ngay từ đầu, thì chỉ một vụ phishing đơn giản hay tấn công chuỗi cung ứng cũng rất dễ gây ra kết quả tương tự hoặc còn tệ hơn
    • Nhân viên luôn là người biết sau cùng. Đây là quy trình tiêu chuẩn

  • Tôi thấy lạ là ngay từ đầu làm sao những người như vậy lại được tuyển. Họ trông còn chẳng giống công dân Mỹ, vậy mà lại có thể làm việc trên các hệ thống nhạy cảm
    Vào lúc 4:58 chiều, họ xóa cơ sở dữ liệu của Department of Homeland Security bằng lệnh “DROP DATABASE dhsproddb”, rồi đến 4:59 thì hỏi một công cụ AI: “làm sao xóa log hệ thống SQL Server sau khi xóa database?” Sau đó còn hỏi thêm “làm sao xóa toàn bộ event log và application log của Microsoft Windows Server 2012?”
    Trong vòng một giờ, Muneeb đã xóa khoảng 96 cơ sở dữ liệu chứa thông tin của chính phủ Mỹ

    • Hai người này sinh ra ở Maryland, và có vẻ khá giỏi. Ít nhất là giỏi gian lận trong học tập để vượt qua, và cũng có thể là thật sự có năng lực kỹ thuật
      https://www.somdnews.com/archive/news/19-year-old-twins-high...
    • Đây là DHS mà. Không cần giả vờ như đó là nơi nổi tiếng vì tuyển người giỏi hay tinh hoa nhất. Nó gần giống đám tinh tinh khoa trương đeo cà vạt và cầm súng hơn
    • Có lẽ họ đã giấu tiền án trọng tội trong hồ sơ xin việc, và bên kiểm tra lý lịch đã không phát hiện vì một lý do rất bình thường nào đó, hoặc nhà thầu thì quá vô dụng nên chẳng kiểm tra luôn
    • Tôi tò mò là làm sao bạn kết luận “trông không giống người Mỹ”. Chỉ nhìn tên rồi đoán vậy thôi à?

  • Ngày 12 tháng 3 năm 2025, lệnh khám xét được thi hành tại nhà của Sohaib ở Alexandria, và các đặc vụ phát hiện 7 khẩu súng cùng 370 viên đạn cỡ .30, ngoài nhiều thiết bị công nghệ khác. Với tiền án trước đó, Sohaib lẽ ra không được sở hữu những thứ này
    Làm ơn đừng phạm thêm tội khác trong lúc đang phạm tội

    • Không chỉ là “với tiền án trước đó Sohaib không nên có những thứ này”, mà thực ra chẳng ai nên có cả một kho vũ khí cá nhân như vậy
    • Anh ta chạy ra cửa sau và vừa hay ở đó có ranh giới bang, nên tôi hơi mong chờ cảnh anh ta gửi súng về nhà qua đường bưu điện để che đậy mọi thứ
    • thiên lệch chọn lọc rất mạnh theo hướng những tên tội phạm ngu ngốc sẽ bị bắt
    • Chỉ nên phạm từng tội một thôi

  • Chính phủ Mỹ bất tài đến mức ngay cả việc xây dựng phần mềm cơ bản cũng làm không xong, nên tôi gần như phải xem chuyện này là một tín hiệu tốt. Tôi nghĩ hàng nghìn vụ xâm nhập trước đó sẽ không dễ bị phát hiện như thế này

  • Đoạn lúc 4:58 chiều họ thổi bay database của Department of Homeland Security bằng lệnh “DROP DATABASE dhsproddb” buồn cười quá. Nó gợi tôi nhớ tới hai anh em cãi cọ trong phim Oceans do Casey Affleck và Scott Caan đóng
    Điều đáng ngạc nhiên là họ lại có thể đến gần dữ liệu nhạy cảm như vậy

    • Việc lúc 4:59 chiều họ hỏi công cụ AI “làm sao xóa log hệ thống SQL Server sau khi xóa database?”, rồi sau đó còn hỏi “làm sao xóa mọi event log và application log trên Microsoft Windows Server 2012?” là một rừng dấu hiệu cảnh báo đến mức chẳng biết nói gì
    • “Là nam à?” “Vâng, 19.” “Còn sống không?” “Vâng, 18!” “Evel Knievel.”
      Hai người này cũng có hơi hướng Rosencrantz and Guildenstern
    • Trong phim thì hai người đó lúc nào cũng là điểm sáng. Tôi đặc biệt thích cảnh một người gia nhập người kia trong vụ bạo loạn ở nhà máy Mexico
    • Có lẽ đây là họ trong video: https://youtu.be/Rx19zOzQeis

  • Tôi không biết nên bắt đầu từ đâu, nhưng hai gã hề này không thể nào đã được cấp security clearance để truy cập các cơ sở dữ liệu vận hành của DHS. Chỉ có thể là họ đã đánh cắp thông tin xác thực của một nhân viên khác có mức quyền đó
    Hơn nữa, hồ sơ thuế cũng không được lưu trong domain của DHS. Có vẻ như câu chuyện đã được gọt giũa để che bớt chi tiết; điều đó thì có thể, nhưng phần bối cảnh giải thích nghe rất khó tin

  • Khoảng 25 năm trước, công ty tôi làm có một đợt cắt giảm nhân sự. Một DBA cũng bị cho nghỉ cùng những người khác, và thời đó họ không thu hồi quyền truy cập ngay, người đó vẫn có thể dùng máy tính công việc đến hết ngày. Hầu hết mọi người đều thu dọn đồ rồi rời đi
    Nhưng DBA bị sa thải đó ở lại và hoàn thành nốt tác vụ sao lưu cơ sở dữ liệu mà mình đang phụ trách, rồi mới dọn đồ rời đi. Chuyện có thật đấy

  • Tôi không hiểu họ đã truy cập được 5.000 mật khẩu bằng cách nào. Chúng được truyền hoặc lưu dưới dạng mật khẩu thuần văn bản à? Đây là phần khó hiểu nhất trong bài
    Một điểm nữa cũng không rõ là làm sao họ có thể vượt qua SOC 2 nếu không cắt quyền truy cập tài khoản ngay khi chấm dứt hợp đồng lao động

    • Nếu chỉ đọc bài thì nghe như mật khẩu thực sự được lưu ở dạng thuần văn bản
      “Vào ngày 1 tháng 2 năm 2025, Muneeb Akhter đã yêu cầu Sohaib Akhter cung cấp mật khẩu thuần văn bản của một cá nhân đã nộp khiếu nại lên Public Portal của Equal Employment Opportunity Commission. Cổng này do công ty sử dụng hai anh em Akhter duy trì. Sohaib Akhter đã chạy truy vấn trên cơ sở dữ liệu EEOC rồi cung cấp mật khẩu đó cho Muneeb Akhter. Mật khẩu này sau đó được dùng để truy cập trái phép vào tài khoản email của cá nhân nói trên.”
    • Chính sách và thực thi thực tế có thể khác nhau. Công ty này và cả ban điều hành của họ nên bị đưa vào danh sách đen của ai đó trong các đợt mua sắm về sau
    • Có vẻ bạn chưa hiểu rõ SOC 2 là gì
      Thứ nhất, SOC 2 lan rộng như virus và hiếm khi được áp dụng vì bản thân nó có ưu điểm kỹ thuật gì. Thứ hai, nó có nhiều cấp độ. Cấp đầu tiên chỉ kiểu “chúng tôi đã viết tài liệu kế hoạch sẽ làm bảo mật thế nào”
      Cấp thứ hai có thể chỉ là bắt đầu triển khai hoặc bắt đầu theo dõi. Điểm mấu chốt là cấp đầu tiên. Nếu bộ phận SOC 2 trong công ty nói rằng cần làm điều ngớ ngẩn nào đó để tuân thủ SOC 2, thì sự ngớ ngẩn ấy là do ai đó trong công ty tạo ra và người đó nên bị sa thải. Dù vậy bạn vẫn phải làm theo cái kế hoạch ngu ngốc đó, vì đó là quy trình
      Trong trường hợp này, có thể kế hoạch đã có câu trả lời cho việc “sa thải nhân sự như thế nào” và “làm sao ngăn một mô hình ngôn ngữ lớn trong một phiên làm việc không thể DROP 96 cơ sở dữ liệu vận hành”, và kế hoạch đó có thể đã được triển khai. Khi đó công ty vẫn tuân thủ SOC 2, và đây thậm chí có thể trông giống như một quy trình SOC 2 đang hoạt động đúng như được thiết kế để thể hiện
    • Còn tùy chính sách offboarding. Nếu chính sách là kiểu 72 giờ thì có thể họ không hề vi phạm chính sách
    • Nếu không phải thuần văn bản thì chính xác bạn muốn họ lưu mật khẩu thế nào? Tất nhiên sau đó phải mã hóa nữa. 5.000 là con số lớn, và đúng là quy trình phân quyền đã bị hỏng, nhưng chuyện đó tách biệt với cách lưu mật khẩu
      Giải pháp duy nhất là tách biệt truy cập đúng cách và dùng bastion

  • Vấn đề không phải là “nhân viên bị sa thải mà vẫn có quyền truy cập hệ thống công ty” là một rủi ro bảo mật. Bản thân việc có một nhân viên có thể xóa 96 cơ sở dữ liệu đã là rủi ro bảo mật, dù người đó vẫn còn làm việc
    Dĩ nhiên, chọn con đường vô nhân đạo là cắt sạch mọi thứ khi chấm dứt việc làm sẽ dễ hơn là sửa cho đúng

  • Công ty chúng tôi gần đây cũng có đợt cắt giảm nhân sự. Vì vẫn là công ty trẻ nên nguyên tắc đặc quyền tối thiểu chưa được áp dụng, và mọi người có thể truy cập cơ sở dữ liệu vận hành để hỗ trợ xử lý yêu cầu. Dù vậy chẳng ai làm điều xấu cả
    Mọi người đều biết chuyện gì sắp xảy ra nhưng không có hành vi trả đũa. Thứ nhất, nếu muốn sang công việc tiếp theo mà không vướng rắc rối pháp lý thì tốt hơn là đừng tự tạo gánh nặng, và hành vi thì đều có thể bị truy vết. Thứ hai, tại sao phải làm vậy? Tại sao phải phá hỏng thành quả công việc của đồng nghiệp?