当今的科技行业,可谓瞬息万变。各项技术时常“一夜变天”,裁员也成为了企业“降本增效”的常见手段。就业环境的动荡、大规模裁员、和不确定的职业前景,使得不少程序员在面对职业危机时难以接受,于是对前雇主发起报复性攻击的事件时有发生。
近期,一名任职于新加坡 IT 公司的印度程序员,因被解雇而心怀不满,4 个月后报复性删除了前东家 180 台虚拟服务器,导致公司损失了 67.8 万美元(约合人民币 491 万元)。
1、被解雇而心生不满,偷偷登录前司的内部系统
这次事件的主人公叫做 Kandula Nagaraju,现年 39 岁,曾于 2021 年 11 月至 2022 年 10 月期间,在 NCS(一家提供信息通信和技术服务的公司)的质量保证(QA)团队任职。据悉,该团队规模为 20 人,负责管理 NCS 质量保证(QA)计算机系统,主要工作内容是在新软件和程序发布前对其进行测试,以确保其质量和稳定性。
然而,NCS 方面认为 Kandula“工作表现不佳”,选择在 2022 年 10 月终止与他的合同,且正式离职日期为 2022 年 11 月 16 日。根据法庭文件内容,Kandula 在被裁时深感“困惑和不安”,他认为自己在工作期间表现出色,并为 NCS “做出了很大的贡献”。
失业后的 Kandula 没能在新加坡找到一份新工作,只能回到印度——但是,他的不满情绪并未因此消散。
在 2023 年 1 月 6-17 日期间,也就是 Kandula 刚离开 NCS 后不久,他就用他自己的笔记本电脑,在未经授权的情况下多次使用管理员登录凭证进入 NCS 内部系统。后据警方调查,在这期间他曾 6 次非法访问前东家的计算机测试系统。
2023 年 2 月,Kandula 终于在新加坡找到了一份新工作。本以为他会就此停止、专心投入下一段崭新的职业生涯,但他还是无法忘记 NCS 对他的“不公”。同月 23 日,Kandula 与一名 NCS 前同事合租了一间房,并利用其 Wi-Fi 网络再次访问了 NCS 系统。
在持续两个月的未授权访问中,Kandula 编写并测试了一些计算机脚本,以验证是否可以通过这些脚本删除服务器——据统计,仅 2023 年 3 月,他进入 NCS 公司 QA 系统的次数就高达 13 次。
2、Kandula 已被判处两年零八个月监禁
经过一系列的准备和测试后,Kandula 在 2023 年 3 月 18 日和 19 日正式实施了报复行动:他运行了一个程序脚本,删除了 NCS QA 系统中的 180 台虚拟服务器。次日,NCS 团队发现系统无法访问,在排除故障未果后,终于发现服务器已被删除。经过全面调查后,NCS 于 4 月 11 日报警,并将内部调查发现的几个 IP 地址移交给警方。
据 NCS 公司透露,这些服务器虽并未存储敏感信息,却是用于软件测试的重要资源,一旦被删除会严重影响公司的正常运营——NCS 表示,此次事件导致了近 67.8 万美元的经济损失。
针对可疑的 IP 地址进行调查后,最终警方将嫌犯锁定为 Kandula。
扣押 Kandula 的笔记本电脑后,警方果然在其中发现了用于执行删除操作的脚本。调查显示,Kandula 曾在谷歌上搜索了删除虚拟服务器的脚本,并基于这些脚本编写了后来用于删除 NCS 180 台虚拟服务器的脚本。
根据本周的最新判定结果,目前 Kandula 因一项“未经授权访问计算机资料”的指控,已被判处两年零八个月监禁,且还存在另一项指控,亦或将影响量刑结果。
3、“企业安全,还与个人在特定情绪状态下的反应有关”
Kandula 的这个事件,引起了业内部分安全人士的注意。全球知名 EDA 解决方案供应商 Synopsys 高级安全工程师 Boris Cipot 指出,本次事件是一个重要提醒,提醒企业要重视认证系统的正确实施。
“通常在考虑网络攻击和防护时,我们倾向于关注未知的攻击者,包括他们将如何从外部入侵我们的可能性。”Boris Cipot 解释道,这种方式下没有“适当的”授权就不能访问系统。
然而 Kandula 的行为告诉我们,虽然身份验证和授权系统非常重要,但仍有可能发生安全隐患。因此 Boris Cipot 坚持认为,仅仅创建账户和分配访问权限是远远不够的:“这些账户及其对资源的访问也必须受到持续监控,一旦出现异常情况,就需要向负责人或系统发出警报。”
以这次的特殊案例来说,Boris Cipot 就提出了许多疑问,包括:为什么 Kandula 的账户仍然有效?为什么公司没有对他的账户进行监控?“像他这样的账户必须受到监控,更为最重要的是,在他被裁时账户就必须注销或锁定。”
除了 Boris Cipot,KnowBe4 的首席安全意识倡导者 Javvad Malik 也补充说,本次事件应成为企业网络安全中关于人为因素的“重大提醒”:“这不仅与技术及其漏洞有关,还与个人在特定情绪状态下的反应有关。这次 Kandula 被解雇后采取的激烈行动,凸显了许多公司目前在员工离职过程中存在的一个重要疏漏。”
参考链接:
https://www.channelnewsasia.com/singapore/former-employee-hack-ncs-delete-virtual-servers-quality-testing-4402141
https://www.itpro.com/security/a-disgruntled-ex-employee-at-a-singaporean-it-firm-caused-carnage-after-deleting-over-180-servers