Запись Teams выдала хакеров, удаливших 96 госбаз
Менеджеры компании сообщили братьям‑айтишникам об их увольнении по видеозвонку в Teams — звонок не был завершён, и запись, сделанная во время последующих манипуляций с серверами, стала ключевым доказательством: 34‑летние близнецы Муниб и Сохаиб Ахтер удалили 96 правительственных баз данных, а также похитили персональные данные для мошенничеств, передает Ars Technica.
Что произошло. Двух 34‑летних братьев‑айтишников уволили после расследования — им инкриминировали сбор имён пользователей и паролей из внутренних баз данных компании для злоупотреблений (например, списание бонусных миль и бронирования перелётов за чужой счёт).
Месть и масштаб вреда. После увольнения один из братьев удалил 96 баз данных, среди которых данные министерства внутренней безопасности, 1 805 файлов комиссии по равным возможностям трудоустройства и федеральная налоговая информация не менее 450 человек.
Как их поймали. Разговор, в котором сотрудников информировали об увольнении, не был завершён в Teams — хакеры оставили соединение открытым и продолжили свои действия, всё записалось. Эти записи позже использовали в суде против братьев.
Итог. Братья признаны виновными и отбывают срок в федеральной тюрьме.
Справка
- Почему это важно. Утечки и уничтожение правительственных баз данных наносят риск национальной безопасности, ставят под угрозу личные данные тысяч людей и осложняют работу государственных служб. Даже если злоумышленники действуют из мести, последствия распространяются на третьих лиц — жертв кражи идентификационных данных, работодателей и государственные программы.
- Технический вектор угрозы. Внутренние сотрудники с правами доступа остаются одной из самых серьёзных угроз: уволенный сотрудник с сохранёнными или неправильно отозванными привилегиями может извлечь и экспортировать данные за часы. Здесь добавилась человеческая ошибка — незавершённый звонок Teams — который обеспечил доказательства.
- Что показывает случай про компании и государства. Инцидент подчёркивает две слабости: (1) недостаточную модель управления доступом — нужно быстрее отзывать учётные записи и ключи при увольнении; (2) отсутствие сегментации данных и защиты от массового экспорта (например, многофакторная аутентификация для операций с критичными базами, лимиты выгрузок, обнаружение аномалий).
- Юридические и оперативные последствия. Судебный прецедент показывает, что цифровые следы (записи звонков, логи доступа, резервные копии) могут напрямую использоваться в уголовных делах. Для компаний это сигнал: инцидент‑ответ и сохранение логов критичны для привлечения виновных и минимизации ущерба.
- Что можно сделать немедленно. Работодателям рекомендовано: план увольнения с мгновенным отзывом привилегий, автоматическое одностороннее завершение сессий и звонков, мониторинг аномалий в экспорте данных, регулярные тесты на инсайдерские угрозы и шифрование критичных баз данных.
- Для пользователей и пострадавших. Людям, чьи данные могли быть скомпрометированы, стоит проверить налоговую информацию, уведомления от госорганов и поставить уведомления о мошенничестве в кредитных бюро. Государственным агентствам — провести аудит доступа и уведомить пострадавших.