Due fratelli, recentemente licenziati, cancellano i database governativi in ​​meno di 5 minuti.

Una storia che nessun responsabile IT vorrebbe mai vedere. Due fratelli gemelli, licenziati di recente, sono riusciti, in pochi minuti, a cancellare dati cruciali del governo statunitense. Il motivo? Un accesso disabilitato in modo errato che ha creato una grave falla nella sicurezza.

Il 18 febbraio 2025, Sohaib e Muneeb Akhter, entrambi amministratori di sistema, vennero a conoscenza del loro licenziamento tramite Microsoft Teams. Uno dei due aveva erroneamente mantenuto l’accesso alla rete. Questa scelta tecnica compromise l’efficacia dei protocolli di sicurezza, che si ritenevano ben consolidati. In pochi minuti, cancellarono oltre 90 database sensibili.

La violazione della sicurezza che ha paralizzato le agenzie federali

Si potrebbe dire che questo tipo di errore sia comune nel mondo degli affari. Ma quando coinvolge dati governativi, diventa inaccettabile. L’azienda per cui lavoravano i fratelli forniva servizi di gestione IT a 45 agenzie federali statunitensi.

Dopo la videoconferenza di licenziamento, l’accesso di Sohaib è stato immediatamente bloccato. Niente di grave. Tuttavia, l’accesso di Muneeb è rimasto attivo. Lo ha subito utilizzato per installare un payload devastante. Il suo primo istinto? Bloccare l’accesso a determinati database, per poi eliminarli uno per uno. In meno di un’ora, 96 database sono stati cancellati.

Quando la tecnologia incontra l’ingenuità amministrativa

L’aspetto più preoccupante di questa storia non è che ci siano riusciti, ma che i team di sicurezza dell’azienda non avessero previsto la revoca immediata di tutti gli accessi degli utenti autorizzati!

Un amministratore responsabile disabilita tutti gli accessi non appena viene a sapere che un dipendente non lavora più per l’azienda. Punto e basta. In questo caso, sembra che il capo abbia fatto tutto il passo più lungo della gamba, a causa di una mancanza di rigore nell’ambiente di Active Directory.

Muneeb non si ferma alle nozioni di base. Chiede persino a un’intelligenza artificiale come eliminare i log di sistema su Windows Server 2012 e SQL Server. Un goffo tentativo di nascondere le sue tracce che rivela la sua mancanza di esperienza pratica, nonostante il suo passato da hacker.

Una vendetta spietata, ma non priva di difetti.

Muneeb e Sohaib hanno una lunga fedina penale. Condannato per frode telematica all’inizio del decennio, uno di loro ha addirittura ottenuto migliaia di credenziali di accesso prendendo di mira i suoi colleghi. Ciò non ha certo ispirato fiducia al momento della loro assunzione.

Essendo stati assunti senza un’adeguata supervisione, finiscono per essere licenziati quando il loro passato riemerge. Ma anche in questo caso, la gestione successiva al licenziamento è un disastro. Una persona viene immediatamente esclusa, l’altra ha pieno accesso: una situazione assurda.

Dopo il loro audace attacco, i fratelli discutono di un possibile tentativo di estorsione, minacciando di cancellare a distanza i dati rimanenti. Ritenuti troppo rischiosi, alla fine rinunciano. Un momento di lucidità che scongiura un disastro ancora maggiore.

Punti chiave per la sicurezza informatica governativa

Il segnale d’allarme è chiaro: nel settore pubblico, come in altri ambiti, l’accesso post-licenza non va preso alla leggera. I protocolli devono essere rigorosi e rigorosamente rispettati, soprattutto quando si tratta di dati sensibili.

Questo caso mette in luce anche le potenziali insidie ​​dell’utilizzo dell’IA nell’hacking. Qui, lo strumento ha contribuito a bloccare i log, ma non ha perfezionato il sabotaggio. La buona vecchia competenza umana sarebbe stata più efficace.

Tutto ciò per dire che una semplice svista in ambito IT può trasformarsi in un disastro. Migliaia di euro spesi in sicurezza informatica svaniscono nel nulla se non si chiudono le porte con la dovuta attenzione quando necessario.

Fonte: www.phonandroid.com