近日,美国司法部(DoJ)发布了一则判决公告,一名云工程师 Miklos Daniel Brody 因被公司解雇后展开蓄意报复,故删除这家公司的代码存储库,最终被判两年监禁并赔偿 529,000 美元。
工程师“删库跑路”,于企业而言,无疑是一场噩梦。然而,这样的事件在行业中却屡见不鲜,同样引发深思。
38 岁工程师删库跑路的前因
现年 38 岁的 Miklos Daniel Brody,来自旧金山,此前入职美国的一家商业银行——第一共和银行(FRB),担任云工程师一职。
这家银行曾拥有七千多名员工,年收入达 67.5 亿美元。遗憾的是,该银行于 2023 年 5 月 1 日倒闭,并被出售给摩根大楼,成为美国史上第二大银行倒闭案件。当然这些都是该银行命运走向的后话了。
当目光回归到 Miklos Daniel Brody 这名工程师的身上,其实他在 2020 年 3 月 11 日便遭到了 FRB 的解雇。
至于其中的原因,根据一份法庭文件显示,Brody 违反公司政策,将包含色情等内容的 USB 驱动器连接到公司的计算机,在被发现之后的第二天,公司终止了与 Brody 的雇佣关系,让其在下午四点半左右离开了办公室。
令人没有想到的是,Brody 被解雇之后拒绝归还他工作的笔记本电脑,并在被解雇的当晚使用他仍然有效的账户访问银行的计算机网络,开始了他一系列的报复行为。
多项报复行为以及撒谎,损失估计超过 22 万美元
根据调查发现,当银行在 2020 年 3 月 12 日最终终止 Brody 对 FRB 网络的访问之前,他早已做完自己想做的“坏事”了。起诉书显示,Brody 利用这段时间:
-
运行一个名为 dar.sh 的“恶意脚本”来删除 FRB 服务器上的信息。
-
删除了特定脚本的 git 日志和 git 提交历史记录
-
访问 FRB 的 GitHub 存储库并删除托管代码
-
在银行代码中留下对前同事的嘲讽,包括对“grok”的引用
-
冒充 FRB 的另一位云工程师 Alex Apke,分别在 3 月 11 日和 12 日访问该公司的网络并进行配置更改,造成了损害
-
通过电子邮件向自己发送了他作为员工时编写的银行专有代码,价值超过 5,000 美元。
在量刑听证会上,法官判定银行系统受损的总成本至少为 220,621.22 美元。
不仅如此, Brody 在被解雇后的几天和几周内,当面对警方的问询时,其采取了一系列回避和欺骗行为,包括向警方报案,谎称他在健身房锻炼时,公司配发的笔记本电脑从他的车中被盗了。
2021 年 3 月被捕后,他在接受美国特勤局特工调查时继续坚持这一说法。
判决:罚金 52.9 万美元,监禁 2 年, 3 年监督释放
最终,Brody 于 2023 年 4 月在认罪申请中承认对公司配发的笔记本电脑做了虚假陈述,并承认两项违反《计算机欺诈和滥用法》的指控:
-
从受保护的计算机中获取信息,违反了《美国法典》第 18 编第 1030(a)(2)(C) 和 (c)(2)(B) 条
-
故意损坏受保护的计算机,违反了《美国法典》第18编第1030(a)(5)(A)和(c)(4)(B)(i)条。
以及还有一项向政府机构做出虚假陈述的指控, 违反了《美国法典》第 18 编第1001(a)(2)条。
基于以上,法官最终判决 Brody 除了两年监禁和支付 529266.37 美元的赔偿金之外,需要在服刑期满后开始三年的监督释放。
删库跑路为何时常发生,问题出在了哪里?
此事披露之后,也引发了众多 IT 人的讨论,也有人提出质疑,「银行的 IT 部门形同虚设?为什么在员工离职的第一时间未能进行足够的检查和将权限收回,导致该员工仍然拥有一个有效的公司账户,可以用来访问存储库,最终带来了一定的损失」。
对于这种情况,很多网友吐槽道,不止是银行,还有其他很多其他行业,都存在这种情况,一定程度上来看,IT 的“失败”只是管理的失败。
sonicanatidae 表示:
“HR 和 IT 之间存在共生关系。在我的组织中,当 HR 提前告诉我们时,我们会在他们与人力资源部讨论访问权限取消,以及信用问题。
如果人力资源部门不告诉我们,我们就没有办法知道是否要删除他们的账户。如果他们不告诉我们,那么被解雇的用户将继续拥有访问权......同样......因为我们无法知道是否要终止访问权。”
还有一位网友表示,「永远不要低估一位愚蠢的经理在这方面的影响力。早在我管理一家公司的 IT 部门时,我们在解雇一名员工时就发生过类似事件。人力资源部给我们提了醒,告诉我们何时会发生这种情况,我们也派了人随时准备取消他们的资格(会议开始时,有人会最后批准)。然而,他们的经理决定“速战速决”,没有告诉我们,当该员工询问是否可以从他们的工作电脑上获取一些信息时,这个经理就坐在他们旁边,结果该员工试图删除他们的所有工作。
我从 OneDrives 的第二个回收站中恢复了这些信息,因此没有丢失任何东西,但我的脸色很难看。这名员工实际上被解雇了,因为他们出于“工作保障目的”而拒绝培训其他人的工作,我们并不是没有警告过这样做是不体面的。」
面对很多企业都存在的管理混乱、流程不清晰问题,还有网友直接推荐了解决方案,即利用现代 IT 集成将 HR 系统连接到 IT 系统,以近乎实时的自动配置(即雇用)和自动取消配置(即终止)用户访问。在这种情况下,一旦在 HR 系统中完成(并批准)终止,用户将立即失去访问权限,无需任何 IT 维护者的参与。
参考:
https://www.bleepingcomputer.com/news/security/cloud-engineer-gets-2-years-for-wiping-ex-employers-code-repos/
https://www.documentcloud.org/documents/24215622-united-states-v-brody?responsive=1&title=1
https://news.ycombinator.com/item?id=38614624
https://www.justice.gov/usao-ndca/pr/disgruntled-cloud-engineer-sentenced-two-years-prison-intentionally-damaging-his
741
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
