Администратор баз данных в Китае приговорен к 7 годам тюремного заключения за инсайд и использование команды shred

ayvczkgvafm4akzrkm7b1xlwhlk.jpeg

По информации Bleeping Computer, администратор баз данных по имени Хань Бинг (Han Bing), который работал в китайской компании Lianjia, приговорен к 7 годам тюремного заключения за незаконный вход в корпоративные информационные системы под root и безвозвратном удалении баз данных компании, включая информацию на резервных площадках, с помощью команд rm и shred.
Инцидент произошел летом 2018 года, но следствие по нему закончилось совсем недавно.

Хань Бинг работал администратором баз данных в крупнейшей китайской компании, занимающейся операциями с недвижимостью. По личным мотивам и после угрозы увольнения из-за слишком ретивого и настойчивого обращения к руководству по поводу плохой информационной защищенности баз данных, Бинг решился на ряд действий, которые стоили компании больших временных и денежных затрат на восстановление деятельности.

Бинг в течение некоторого времени использовал свои административные привилегии и учетную запись root для доступа к финансовой информационной системе компании и удалении всех сохраненных там данных с двух серверов баз данных и двух серверов приложений.

Это привело к немедленному прекращению значительной части финансовых и рабочих операций в Lianjia. Десятки тысяч сотрудников компании прекратили работать, их финансовые ведомости были удалены, они остались без зарплаты на длительный период. Компании пришлось срочно обратиться к сторонним организациям для помощи по восстановлению данных. Это обошлось Lianjia примерно в $30 тыс.

Косвенный ущерб от нарушения деятельности фирмы, однако, был гораздо больше, поскольку Lianjia управляет тысячами офисов, работает с более чем 120 тыс. брокеров, владеет 51 дочерней компанией, а ее рыночная стоимость оценивается в $6 млрд.

Согласно документам, опубликованным следователями китайской народной прокуратуры, Бинг был одним из пяти главных подозреваемых в деле о массовом удалении данных компании.

Нерадивый администратор Бинг сразу же вызвал подозрения у правоохранительных органов, когда отказался сообщить следователям и представителям ИБ-службы компании пароль от своего рабочего ноутбука, который он использовал также дома.

Бинг утверждал, что на его ноутбуке были личные данные, а пароль он предоставит только представителям государственных органов и разрешит ввести его только самому при условии присутствии при проверке ноутбука.

Следователи в суде пояснили, что Бинг ранее смог удалить все улики с ноутбука, поэтому проводили внешние проверки для оценки реакции пяти сотрудников, имевших доступ к системе, а также анализировали логи соединений, включая временные метки и записи с камер наблюдения.

Технические специалисты в рамках расследования извлекли журналы доступа с серверов компании и отследили активность пользователей в момент атаки до определенных IP-адресов и MAC-адресов. ИБ-инспекторы извлекли журналы подключений Wi-Fi и временные метки всех сессий, что в конечном итоге по сумме улик подтвердило виновность Бинга. Против него также были записи с камер видеонаблюдения, которые зафиксировали его активность в это время с ноутбуком.

Судебный IT-эксперт пояснил, что Бинг в процессе атаки активно использовал команды shred и rm для быстрого и безвозвратного удаления элементов баз данных компании.

Примечательно, что Бинг перед этим неоднократно сообщал своему работодателю и руководителям о пробелах в безопасности финансовой системы. Он даже рассылая электронные письма другим администраторам, чтобы выразить свою обеспокоенность в неработающей должным образом системе защиты.

Анализ его переписки показал, что все начальники игнорировали его опасения, а руководитель его отдела несколько раз отвергал проект по IT-безопасности, который Бинг предлагал запустить в компании.

После этого администратор Бинг предупреждал вышестоящее руководство, что его организационные предложения не ценятся прямым начальством. Он также часто вступал в споры со своими руководителями, но они ни к чему не приводили, кроме обратного давления на Бинга. В итоге он как сознательный сотрудник не сдержался и решился на незаконную деятельность, чтобы показать свою правоту.

Аналогичный случай произошел в мае 2021 года. Тогда уволенный сотрудник кредитного союза Нью-Йорка в отместку удалил более 21 ГБ данных клиентов и смог некоторое время просматривать отчетные документы компании. Причем он это сделал спустя двое суток после окончания официальной процедуры оформления документов о завершении работы в компании. Это произошло по вине техподдержки, которая не удалила его учетную запись из системы после получения тикета о необходимости удаления доступа для уволенного сотрудника.

© Habrahabr.ru