Irmãos gêmeos apagam 96 bancos de dados do governo minutos após demissão

 (arstechnica.com)
1 pontos por GN⁺ 10 시간 전 | 1 comentários | Compartilhar no WhatsApp
  • Muneeb Akhter e Sohaib Akhter são acusados de apagar 96 bancos de dados do governo dos EUA usando acessos de conta que ainda restavam logo após serem demitidos
  • Os dois haviam se declarado culpados anteriormente por fraude eletrônica e crimes de informática e depois entraram em uma empresa de Washington, DC, que vendia serviços para 45 clientes federais
  • Muneeb reuniu 5.400 nomes de usuário e senhas obtidos da rede da empresa e usou um script em Python para tentar login no DocuSign, em companhias aéreas, no Marriott e em outros serviços
  • Em 18 de fevereiro de 2025, cinco minutos após a demissão, o VPN e a conta do Windows de Sohaib foram bloqueados, mas a conta de Muneeb permaneceu ativa, permitindo executar DROP DATABASE dhsproddb
  • Após se declarar culpado, Muneeb questionou sua defesa e alegou inocência em parte das acusações, enquanto Sohaib foi condenado por conspiração para fraude informática, comércio de senhas e posse de arma de fogo

Por que é necessário bloquear contas antes da demissão

  • Nos EUA, é comum desativar as credenciais digitais de funcionários demitidos ou dispensados antes da comunicação oficial
  • Às vezes a primeira sinalização do fim do vínculo empregatício é a falha ao tentar fazer login nos sistemas da empresa, mas esse procedimento se consolidou porque ex-funcionários com acesso ainda ativo podem representar um risco de segurança
  • O caso dos irmãos gêmeos Muneeb Akhter e Sohaib Akhter mostra que tipo de dano pode ocorrer quando o acesso permanece ativo por alguns minutos após a demissão

Histórico dos irmãos Akhter e seus acessos

  • Muneeb Akhter e Sohaib Akhter têm atualmente 34 anos e já haviam se declarado culpados, em 2015 na Virgínia, por participação em um esquema envolvendo fraude eletrônica e crimes relacionados a computador
  • Muneeb foi condenado a 3 anos de prisão, e Sohaib a 2 anos
  • Após deixarem a prisão, Muneeb entrou em 2023 em uma empresa sediada em Washington, DC, e Sohaib se juntou à mesma empresa um ano depois
  • A empresa vendia software e serviços para 45 clientes federais
  • Segundo o governo dos EUA, em 1º de fevereiro de 2025, Muneeb pediu a Sohaib a senha em texto puro de uma pessoa que havia registrado uma queixa no EEOC Public Portal
    • Sohaib executou uma consulta no banco de dados da EEOC e forneceu a senha a Muneeb
    • Essa senha foi usada depois para acessar sem autorização a conta de e-mail da pessoa

Coleta de credenciais e tentativas automatizadas de login

  • Muneeb vinha reunindo 5.400 nomes de usuário e senhas obtidos de dados da rede da empresa
  • Ele criou um script personalizado em Python para testar essas credenciais em sites comuns
  • marriott_checker.py era um aplicativo para tentar login na rede hoteleira Marriott
  • Muneeb conseguiu fazer login com sucesso centenas de vezes, incluindo em contas do DocuSign e de companhias aéreas
  • Quando encontrava milhas aéreas em contas de vítimas, Muneeb chegava a reservar viagens para si mesmo

A exclusão dos bancos de dados logo após a demissão

  • O empregador dos irmãos parece ter descoberto o histórico criminal dos dois em algum momento de fevereiro
  • Em 18 de fevereiro de 2025, os irmãos, que moravam juntos na Virgínia, foram chamados para a mesma reunião no Microsoft Teams e demitidos imediatamente
  • A reunião terminou às 16h50, no fim do expediente
  • Cinco minutos depois, Sohaib tentou acessar a rede do ex-empregador, mas seu acesso por VPN e sua conta do Windows já haviam sido encerrados
  • A conta de Muneeb ficou fora do bloqueio, e ele imediatamente acessou bancos de dados do governo dos EUA
  • Às 16h56, Muneeb executou um comando para impedir que outros usuários se conectassem aos bancos de dados ou fizessem alterações, e em seguida executou o comando de exclusão
  • Às 16h58, ele apagou um banco de dados do Department of Homeland Security com o comando DROP DATABASE dhsproddb
  • Às 16h59, ele perguntou a uma ferramenta de IA: “como apagar os logs de sistema de um servidor SQL depois de apagar um banco de dados”
  • Depois, também perguntou: “como apagar todos os eventos e logs de aplicativos no Microsoft Windows Server 2012”
  • Ao longo de uma hora, Muneeb apagou cerca de 96 bancos de dados contendo informações do governo dos EUA
  • Ele baixou 1.805 arquivos pertencentes à EEOC para armazená-los em um pendrive e também levou informações fiscais federais de pelo menos 450 pessoas

Conversas entre os irmãos e tentativa de encobrimento

  • Enquanto a exclusão dos dados acontecia, os dois continuaram conversando, mas o governo não esclareceu se essas conversas ocorreram por mensagem de texto, mensagem instantânea ou pessoalmente
  • Observando o que Muneeb fazia, Sohaib disse: “Estou vendo você limpar os backups do banco de dados deles”
  • À medida que o número de exclusões aumentava, Sohaib comentou: “Tudo bem, desde que haja uma negação plausível”
  • Muneeb disse: “Eles podem restaurar pelo backup de ontem”, e Sohaib respondeu: “Sim, podem”
  • Sohaib sugeriu: “Devo apagar o sistema de arquivos também?”, e Muneeb respondeu: “Boa ideia
  • Sohaib disse: “Devia ter existido um script de destruição. Algo como uma extorsão para arrancar dinheiro—”, e Muneeb respondeu: “Não, isso não pode, isso é prova de culpa”
  • Depois de apagar os bancos de dados e os logs de eventos, os irmãos reinstalaram o sistema operacional do notebook da empresa com ajuda de um co-conspirador cujo nome não foi divulgado

Busca, acusação e resultado do julgamento

  • A busca efetiva das autoridades federais só ocorreu três semanas após a demissão e a exclusão dos dados
  • Em 12 de março de 2025, um mandado de busca foi cumprido na casa de Sohaib em Alexandria
  • Os investigadores apreenderam vários dispositivos tecnológicos e também encontraram 7 armas de fogo e 370 munições calibre .30
  • Por causa de sua ficha criminal anterior, Sohaib não podia possuir essas armas nem essa munição
  • Os irmãos permaneceram soltos por mais 9 meses enquanto a investigação avançava, mas foram presos em 3 de dezembro e denunciados por vários crimes
  • A denúncia pode ser consultada no documento do CourtListener
  • Em 15 de abril de 2026, Muneeb assinou um acordo de confissão reconhecendo as principais acusações da denúncia
  • Sohaib foi a julgamento, mas perdeu
  • Em 7 de maio de 2026, o júri considerou Sohaib culpado por conspiração para fraude informática, comércio de senhas e posse de arma de fogo por pessoa proibida
  • A sentença de Sohaib está marcada para setembro

A carta de Muneeb da prisão e questionamentos sobre a confissão

  • Muneeb apresentou uma petição manuscrita da prisão alegando que seu advogado não foi eficaz
  • Documentos apresentados depois passaram a questionar a própria confissão de culpa assinada por Muneeb
  • Em uma carta de um parágrafo enviada ao juiz em 27 de abril, Muneeb escreveu: “Que Deus guie minhas palavras”
    • Ele escreveu que se sentia desconfortável com “a velocidade com que o governo esperava uma assinatura rápida e com minha confissão de culpa, enquanto limitava minha capacidade de contestar as provas dentro do prazo de moções pré-julgamento”
    • Ele acrescentou: “Eu sustento a inocência do meu irmão”, mas Sohaib seria considerado culpado alguns dias depois
  • Outra breve carta manuscrita, apresentada em 5 de maio, afirma que Muneeb é inocente na acusação 10
    • O motivo seria que “o acesso à conta do DocuSign não concede nada de valor, e ele não obteve nem pretendia obter nada de valor com isso”
    • A carta não trata da exclusão dos 96 bancos de dados
  • Em uma terceira carta apresentada em 5 de maio, Muneeb pediu autorização para atuar em pro se, defendendo-se por conta própria

A empregadora Opexus e a falha de procedimento

  • O nome da empresa que empregou os irmãos não foi divulgado nos documentos judiciais, mas reportagens a identificaram como Opexus
  • A Opexus se manifestou sobre o caso em dezembro ao Cyberscoop
  • A Opexus afirmou que realizou verificações de antecedentes, mas reconheceu que deveria ter aplicado “diligência adicional
  • A empresa admitiu que “a demissão não foi tratada da forma adequada”
  • A empresa informou que “os responsáveis pela contratação dos gêmeos não trabalham mais na Opexus”
  • Contratação, verificação de antecedentes, processo de demissão e bloqueio de contas acabaram se combinando em uma falha total

Leituras relacionadas

1 comentários

 
GN⁺ 10 시간 전
Comentários do Hacker News

  • A parte em que a Opexus diz que “os responsáveis por contratar os gêmeos não trabalham mais na Opexus” ficou parecida com a fala clássica do Monty Python sobre “os responsáveis por demitir as pessoas que acabaram de ser demitidas também foram demitidos”
    Brincadeiras à parte, preocupa que muitos empregadores tirem apenas as lições mais extremas e desumanas de casos assim. Por exemplo, fazer demissões e layoffs da forma mais repentina possível, cortar o acesso imediatamente, ou nunca dar uma segunda chance a alguém que tenha qualquer antecedente criminal, até por posse de maconha de décadas atrás
    Acho melhor uma abordagem mais equilibrada. O acesso unilateral a sistemas sensíveis deve ser restringido não só para quem foi demitido recentemente, mas de forma geral; em demissões, credenciais especialmente sensíveis devem ser cortadas imediatamente, mas não faz sentido apagar também todo login comum ou conta de e-mail. Não contrate alguém condenado por fraude eletrônica como administrador de sistemas e, por favor, façam hash das senhas

    • Durante a reunião em que a demissão é comunicada, cortar o acesso antes mesmo de a pessoa saber e trocar senhas se necessário já era procedimento padrão há pelo menos 20 anos
    • Se alguém tinha esse nível de acesso, seria incompetência não “fazer a demissão da forma mais repentina possível e cortar o acesso imediatamente”. Em funções assim, isso é totalmente padrão e precisa ser assim
      Nos lugares onde trabalhei, isso sempre valia para a maioria do pessoal de TI. Enquanto a pessoa estava na reunião com o RH, alguém arrumava a mesa dela e a segurança a acompanhava até a saída
    • Isso já acontece mesmo
      Nos EUA, cortam seu acesso durante uma reunião no Teams e, se o seu currículo tiver um buraco, um problema ou qualquer pequena mancha, algum agente de IA joga você no lixo
    • Na era da IA agentic maliciosa, dar esse nível de acesso é negligência. Se não havia controles de engenharia para impedir que isso sequer acontecesse, então um simples phishing ou ataque à cadeia de suprimentos poderia facilmente ter causado o mesmo resultado ou pior
    • O funcionário sempre é o último a saber. Esse é o procedimento padrão

  • O mais espantoso é como essas pessoas foram contratadas para começar. Nem parecem ser americanas, então como puderam trabalhar em sistemas sensíveis?
    Às 16h58, apagaram um banco de dados do Department of Homeland Security com o comando “DROP DATABASE dhsproddb” e, às 16h59, perguntaram a uma ferramenta de IA “como apagar os logs do sistema SQL Server depois de deletar um banco de dados?”. Depois ainda perguntaram “como apagar todos os logs de eventos e de aplicativos do Microsoft Windows Server 2012”
    Em menos de uma hora, Muneeb apagou cerca de 96 bancos de dados com informações do governo dos EUA

    • Os dois nasceram em Maryland e, ao que parece, eram bem capazes. Pelo menos eram bons em enganar nos estudos, e talvez também fossem tecnicamente competentes de verdade
      https://www.somdnews.com/archive/news/19-year-old-twins-high...
    • É o DHS. Não precisa fingir que é um órgão conhecido por contratar gente competente ou os melhores talentos. Está mais para chimpanzés afetados de gravata e arma
    • Devem ter ocultado uma condenação por crime grave no formulário de candidatura, e por algum motivo banal a empresa de background check não pegou isso, ou a contratada era tão incompetente que nem verificou
    • Fico curioso sobre como chegaram à conclusão de que “não parecem americanos”. Foi só pelo nome?

  • Em 12 de março de 2025, um mandado de busca foi cumprido na casa de Sohaib em Alexandria, e os agentes encontraram vários equipamentos técnicos, além de 7 armas de fogo e 370 munições calibre .30. Pelo histórico criminal anterior, Sohaib não poderia ter nada disso
    Por favor, não cometa outro crime enquanto estiver cometendo um crime

    • Não é só que “pelo histórico criminal anterior Sohaib não poderia ter isso”; ninguém deveria ter um arsenal particular
    • Quando ele saiu correndo pela porta dos fundos e por acaso havia uma fronteira estadual ali, eu meio que esperava a cena em que ele envia as armas pelo correio para a própria casa para encobrir tudo
    • Existe um forte viés de seleção a favor de criminosos burros serem pegos
    • Deve-se cometer um crime de cada vez

  • O governo dos EUA é tão incompetente até para montar software básico que quase sou obrigado a ver isso como algo positivo. Aposto que as milhares de invasões anteriores não teriam sido detectadas com tanta facilidade

  • A parte de terem apagado o banco de dados do Department of Homeland Security às 16h58 com o comando “DROP DATABASE dhsproddb” é engraçada demais. Faz pensar em dois irmãos briguentos como os personagens dos filmes Ocean's interpretados por Casey Affleck e Scott Caan
    Impressiona que eles tenham chegado tão perto de dados sensíveis

    • O fato de às 16h59 terem perguntado a uma ferramenta de IA “como apagar os logs do sistema SQL Server depois de deletar um banco de dados?” e depois “como apagar todos os logs de eventos e aplicativos do Microsoft Windows Server 2012” é uma coleção tão grande de alertas vermelhos que nem sei o que dizer
    • “É homem?” “Sim, 19.” “Está vivo?” “Sim, 18!” “Evel Knievel.”
      Os dois também passam um pouco uma vibe de Rosencrantz e Guildenstern
    • Nos filmes, os dois eram sempre o ponto alto. Eu gostava especialmente da cena em que um deles se junta ao outro no motim da fábrica no México
    • Acho que as pessoas no vídeo são eles: https://youtu.be/Rx19zOzQeis

  • Nem sei por onde começar, mas esses dois palhaços não devem ter recebido credencial de segurança para acessar os bancos de dados operacionais do DHS. A única explicação é que roubaram as credenciais de outro funcionário que tinha esse nível de autorização
    Além disso, registros fiscais não ficam armazenados no domínio do DHS. A história parece ter sido lapidada para esconder detalhes, o que pode até ser compreensível, mas o contexto é difícil de acreditar

  • Cerca de 25 anos atrás houve um layoff na empresa em que eu trabalhava. Um DBA foi demitido junto com outras pessoas, mas naquela época o acesso não era revogado imediatamente e ele ainda podia usar o computador do trabalho até o fim do dia. A maioria arrumou as coisas e foi embora
    Mas esse DBA demitido ficou e terminou a tarefa de backup dos bancos de dados pela qual era responsável, e só depois arrumou suas coisas e saiu. História real

  • Não entendo como conseguiram acesso a 5 mil senhas. Elas estavam sendo transmitidas ou armazenadas em texto puro? Essa é a parte mais difícil de entender no artigo
    Outra coisa pouco clara é como uma empresa consegue passar em SOC 2 sem cortar o acesso à conta no momento da demissão

    • Pelo artigo, parece mesmo que as senhas estavam armazenadas em texto puro
      “Em 1º de fevereiro de 2025, Muneeb Akhter pediu a Sohaib Akhter a senha em texto puro de um indivíduo que havia enviado uma reclamação ao Public Portal da Equal Employment Opportunity Commission. Esse portal era mantido pelo empregador dos irmãos Akhter. Sohaib Akhter executou uma consulta no banco de dados da EEOC e forneceu essa senha a Muneeb Akhter. A senha foi então usada para acessar sem autorização a conta de e-mail desse indivíduo.”
    • Política e execução real podem ser coisas diferentes. Essa empresa e toda a liderança deveriam entrar em alguma lista negra de compras futuras
    • Acho que você não entende muito bem o que é SOC 2
      Primeiro, SOC 2 se espalha como vírus e raramente é adotado por méritos técnicos próprios. Segundo, existem vários níveis. O primeiro basicamente diz “escrevemos em documento como planejamos fazer segurança”
      O segundo pode ser algo como começar a implementar ou acompanhar isso. O ponto central é o primeiro nível. Se o departamento de SOC 2 da empresa diz que é preciso fazer algo idiota para cumprir SOC 2, essa idiotice foi criada por alguém dentro da empresa e essa pessoa deveria ser demitida. Ainda assim, o plano idiota precisa ser seguido porque esse é o processo
      Nesse caso, o plano pode até ter incluído respostas para “como demitir pessoas” e “como impedir que um único modelo de linguagem grande derrube 96 bancos de dados de produção em uma sessão”. Se isso foi implementado, a empresa ainda estaria em conformidade com SOC 2, e talvez seja exatamente isso que um procedimento de SOC 2 em funcionamento pareça na prática
    • Depende da política de offboarding. Se a política for algo como 72 horas, talvez isso nem seja violação da política
    • Se não fosse texto puro, então exatamente como você gostaria que as senhas fossem armazenadas? Claro, depois precisam ser criptografadas. 5 mil é muita coisa e o processo de autorização claramente estava quebrado, mas isso é separado da forma de armazenamento das senhas
      A única solução é segregação correta de acesso e um bastion host

  • O problema não é “um funcionário demitido ter acesso aos sistemas da empresa” ser um risco de segurança. Um funcionário que consegue apagar 96 bancos de dados já é um risco de segurança mesmo quando ainda está empregado
    Claro, é mais fácil seguir o caminho desumano de cortar tudo no desligamento do que consertar o problema de verdade

  • Na nossa empresa também houve layoffs recentemente. Como ainda é uma empresa jovem, o princípio do menor privilégio ainda não tinha sido aplicado, e as pessoas podiam acessar os bancos de dados de produção por causa de solicitações de suporte. Mesmo assim, ninguém fez nada ruim
    As pessoas sabiam o que estava acontecendo, mas não houve retaliação. Primeiro, é melhor não criar problemas e seguir para o próximo emprego sem dor de cabeça jurídica, e as ações são rastreáveis. Segundo, por que fazer isso? Por que estragar o trabalho dos colegas?