游乐游手机版
首页/科技数码/文章详情

程序员被裁后删库报复:一键重置致公司损失超600万

时间:2025-11-21 21:05
如果说网络攻击里有一种最难防、最令人头疼的威胁,那大概率不是勒索病毒、APT 组织,也不是零日漏洞,而是——你的前同事。 2024 年 5 月发生在美国休斯敦的一起内部员工攻击事件,直到最近才随着

说起网络安全领域中最令人头疼、也最难防范的威胁,或许并非勒索病毒或APT组织,甚至也不是零日漏洞,而可能是——你曾经的同事。

2024年5月发生在美国休斯顿的一起内部员工攻击事件,直到最近法院审理推进才完全曝光:这家业务覆盖美国全国的大型企业,在短短几分钟内就被强制打回“未激活状态”,直接损失高达86.2万美元(约合人民币613万元),并且触发了业务连续性危机。

而引发这一切的,仅仅是一名被开除的IT外包人员。

外包被解雇后,竟轻易重返内网

根据美国司法部(DOJ)披露的文件,这位名叫Maxwell Schultz的IT外包人员现年35岁,来自美国俄亥俄州,曾作为合约工为一家大型企业的IT部门提供技术支持。尽管司法部未直接点名是哪家企业,但多家地方媒体推测,这很可能就是美国废物管理公司Waste Management(简称WM)。

2024年5月14日,当时31岁的Maxwell Schultz被原公司解除合约,账号权限也按理应立即撤销。

照理说,故事到这里就该结束:毕竟一般而言,公司在解雇员工或外包时,会同步完成账号权限回收与系统级权限吊销。然而,现实中的企业安全管理却往往并不会如此“按部就班”。

如今,大型企业的权限回收流程通常依赖人工操作、跨部门沟通复杂,执行容易出错。而外包权限的控制,更是众多公司公认的“管理盲区”。一旦权限回收不彻底、身份验证机制存在疏漏,攻击者便能轻易重返网络内部——Maxwell Schultz正是钻了这个空子。

被解雇不久后,Maxwell Schultz利用自己熟悉内部系统架构的优势,冒用另一名外包人员的身份,骗取了新的网络登录凭证,重新进入公司的网络系统。

一条PowerShell脚本,引发大规模“账号失效”

重新进入系统后,Maxwell Schultz并未进行复杂的渗透,也没有部署恶意程序,而是选择了一个更直接、影响更广的方式:运行一段PowerShell脚本,一键重置了近2500个账户的密码。

法院文件披露,这段脚本是Maxwell Schultz自己编写的,调用的正是Windows企业环境中极为常见的命令行接口。脚本执行后,WM公司范围内:

○ 所有员工与外包的电脑被统一踢下线

○ 任何登录尝试全部失败

○ 从客户服务部门到现场运维团队,所有业务瞬间停摆。

可以想象,这对一家在美国全国布局的大型企业意味着什么——所有依赖内部系统的工作流程同步冻结,业务连续性在瞬间被打断。而这,仅仅源于几行PowerShell代码的威力。

为了掩盖自己的行为,事后Maxwell Schultz还上网搜索了如何删除系统日志,并成功清除了多条PowerShell事件记录。尽管未能完全抹掉痕迹,但这也大幅提升了事后的取证难度。

员工停工、客服中断,企业损失超86万美元

司法部公布的信息显示,Maxwell Schultz的此次攻击造成86.2万美元以上的损失,主要来自三方面:

(1)大量员工停工:数千名员工无法登录电脑,自然无法开展任何与系统相关的操作,可企业每天支付的薪酬成本并不会因此暂停。

(2)客户服务体系瘫痪:Waste Management的客服体系高度依赖内部工单与处理系统,密码被重置后,客服无法访问后台系统,导致服务中断。

(3)恢复网络的人工成本:这包括重新建立账号、恢复系统、梳理日志、排查可能的额外破坏等所有技术行为。而对IT团队来说,大规模权限恢复往往意味着数日甚至数周的加班。

这还不包括公司名誉影响、合同延误等长期成本。某位参与事件调查的工程师形容:“这是普通技术人员想不到的攻击方式,但对熟悉内部结构的人来说,它简单到令人害怕。”

动机只有一个:“被开除而不爽”

面对DOJ的调查,Maxwell Schultz坦白了动机:“因为被解雇而不爽。”

是的,他不是为了勒索,也不是被人指使,更没有复杂的攻击流程,纯粹就是为了泄愤。

目前,该案件已移交至美国联邦地区法院,预计2026年1月30日宣判,届时Maxwell Schultz可能面临最高10年联邦监禁 + 25万美元罚款。

针对此事,网络安全专家指出,这类因不满被解雇而发起的“内部威胁攻击”(insider threat)正在快速增加,尤其是像能源和科技行业这种依赖外包、且外包人员权限较高的领域。美国网络安全与基础设施安全局(CISA)也多次提醒企业,要重视对前雇员、前外包人员的权限回收。

毕竟,类似的“内鬼攻击”事件可谓层出不断。例如,今年5月美国最大加密货币交易所Coinbase遭遇内鬼勾结黑客勒索2000万美元,导致平台深层漏洞暴露,损失超4亿美元;去年5月,FinWise银行也因前员工窃取数据导致近70万用户信息泄露。

你能说这些公司的安全管理机制不完善吗?实际上,多数公司都会关注防火墙、入侵检测、勒索软件防护,但往往忽略了“人”——尤其是那些曾拥有较高权限、了解内部流程、并深知系统弱点的工程师。

而他们要发起攻击,并不需要太高级的技术,只要情绪失控,就能用最简单的方式造成最严重的后果。

参考链接:https://www.justice.gov/usao-sdtx/pr/former-contractor-admits-hacking-employer-retaliation-termination

来源:https://36kr.com/p/3562755575118723
上一篇摩尔线程创年内最大IPO:市值突破500亿元的启示 下一篇身家700亿水果链女王带队冲刺港交所IPO
本站内容用于信息整理与展示,如有侵权或内容问题请及时联系处理。

相关推荐

补充同频道和同主题内容,方便继续浏览更多相关内容。

同类最新

继续查看同栏目最近更新的文章。

更多
理想新车布局预测:L9L与i9上半年发布
科技数码 · 2026-07-04

理想新车布局预测:L9L与i9上半年发布

1月23日消息,综合权威公开信息与行业趋势研判,理想汽车2026年度新车布局规划正式曝光。此番产品线布局,不仅持续深耕SUV市场,同时加速补齐全场景覆盖的拼图。 理想L9旗舰SUV 在增程动力领域,理想L系列将迎来一位新成员——L9L,预计2026年上半年正式上市,预估售价区间为45万至55万元。与

三星消息应用7月停用 部分旧设备可继续使用
科技数码 · 2026-07-04

三星消息应用7月停用 部分旧设备可继续使用

6月29日,多家海外媒体援引三星官方消息证实,三星消息(Samsung Messages)应用将于2026年7月正式终止服务。随着这个截止日期越来越近,依然在使用该应用的Galaxy用户需要尽快迁移到新的默认信息工具。其实过去两年里,三星一直在悄悄引导用户转向谷歌信息(Google Messages

吉利发布2030战略:年销650万辆全面迈向全球前五
科技数码 · 2026-07-04

吉利发布2030战略:年销650万辆全面迈向全球前五

1月22日,吉利控股集团在北京召开战略解析大会,正式发布“一个吉利,全面领先”的2030战略蓝图。战略目标清晰明确:到2030年,全球总销量(含乘用车与商用车)突破650万辆,稳居全球车企前五。其中,新能源车型占比预计达到75%左右,海外销量占比超过三分之一。尤为关键的是,依托全新全球化架构,单车型

OPPO Find X9系列旗舰手机累计销量突破250万部Ultra版超12万部
科技数码 · 2026-07-04

OPPO Find X9系列旗舰手机累计销量突破250万部Ultra版超12万部

OPPO Find X9 Ultra 旗舰机型 回顾产品发布背景:Find X9系列于2025年10月正式登场,作为OPPO年度旗舰产品线,涵盖标准版、Pro版与Ultra版三大版本。该系列的核心竞争力十分明确——影像系统与综合性能的双重显著提升。上市以来,凭借芯片算力、屏幕显示素质、续航表现以及影

IntelliJ IDEA 2025.3.2 版本正式发布
科技数码 · 2026-07-04

IntelliJ IDEA 2025.3.2 版本正式发布

IntelliJ IDEA 2025 3 2 版本现已正式发布。除了常规的漏洞修复与功能完善,本次更新有几个修复点值得格外关注——特别是如果你经常使用终端工具执行命令,或者正在采用远程开发工作流。终端工具窗口的闪烁问题终于得到彻底解决。此前在调用支持同步输出的命令行工具(例如 Claude Code