31歲被裁，程序員怒而黑進(jìn)前東家：“一鍵重置”2500個(gè)賬號(hào)，全國(guó)業(yè)務(wù)瞬間停擺，損失高達(dá)600+萬(wàn)！

整理 | 鄭麗媛

出品 | CSDN（ID：CSDNnews）

如果說(shuō)網(wǎng)絡(luò)攻擊里有一種最難防、最令人頭疼的威脅，那大概率不是勒索病毒、APT 組織，也不是零日漏洞，而是——你的前同事。

2021 年 5 月發(fā)生在美國(guó)休斯敦的一起內(nèi)部員工攻擊事件，直到最近才隨著法院審理推進(jìn)而完全曝光：一家業(yè)務(wù)覆蓋美國(guó)全國(guó)的大型企業(yè)，在短短幾分鐘內(nèi)被打回“未激活狀態(tài)”，造成 86.2 萬(wàn)美元（約人民幣 613 萬(wàn)元）直接損失，并觸發(fā)業(yè)務(wù)連續(xù)性危機(jī)。

而這件事的肇事者，只是一名被開(kāi)除的 IT 外包人員。

外包被解雇后，又輕松回到內(nèi)網(wǎng)

根據(jù)美國(guó)司法部（DOJ）文件，這名 IT 外包名為 Maxwell Schultz，現(xiàn)年 35 歲，來(lái)自美國(guó)俄亥俄州，曾作為一名合約工，為一家大型企業(yè)的IT 部門(mén)提供技術(shù)支持工作。雖然 DOJ 并未直接點(diǎn)名，但多家地方媒體推測(cè)，這家公司正是美國(guó)廢物管理公司 Waste Management（簡(jiǎn)稱 WM）。

2021 年 5 月 14 日，時(shí)年 31 歲的 Maxwell Schultz 被原公司解除合約，賬號(hào)權(quán)限也按流程立即被撤銷(xiāo)。

按理說(shuō)，故事到這里就應(yīng)該結(jié)束：畢竟一般而言，公司在解雇員工或外包時(shí)，會(huì)同步完成賬號(hào)權(quán)限回收與系統(tǒng)級(jí)權(quán)限吊銷(xiāo)；然而，現(xiàn)實(shí)的企業(yè)安全管理往往并不會(huì)“按理說(shuō)”。

如今，大型企業(yè)的權(quán)限回收流程往往依賴人工、跨部門(mén)溝通復(fù)雜，執(zhí)行容易出錯(cuò)，外包權(quán)限的控制更是眾多公司公認(rèn)的“管理盲區(qū)”。一旦權(quán)限回收流程不徹底、身份驗(yàn)證機(jī)制存在疏漏，攻擊者便能輕易重返網(wǎng)絡(luò)內(nèi)部——Maxwell Schultz 正是鉆了這個(gè)空子。

被解雇后不久，Maxwell Schultz 利用自己對(duì)內(nèi)部系統(tǒng)架構(gòu)的熟悉，冒充另一名外包人員，套取了新的網(wǎng)絡(luò)登錄憑證，重新進(jìn)入公司的網(wǎng)絡(luò)系統(tǒng)。

一條 PowerShell 腳本，引發(fā)大規(guī)模“賬號(hào)失效”

重新進(jìn)入系統(tǒng)后，Maxwell Schultz 并沒(méi)有做復(fù)雜的滲透，也沒(méi)有部署惡意程序，而是選擇了一個(gè)更暴力、更影響全局的方式：運(yùn)行一段 PowerShell 腳本，一鍵重置約 2500 個(gè)賬號(hào)密碼。

法院文件披露，這段腳本是 Maxwell Schultz 自己編寫(xiě)的，調(diào)用的是 Windows 企業(yè)環(huán)境極為常見(jiàn)的命令行接口。腳本執(zhí)行后，WM 全公司范圍內(nèi)：

● 所有員工與外包的電腦被統(tǒng)統(tǒng)踢下線

● 任何登錄嘗試全部失敗

● 從客戶服務(wù)部門(mén)到現(xiàn)場(chǎng)運(yùn)維團(tuán)隊(duì)，所有業(yè)務(wù)瞬間停擺

可以想象，這對(duì)一家在美國(guó)全國(guó)范圍內(nèi)布局的大型企業(yè)意味著什么——所有依賴內(nèi)部系統(tǒng)的工作流程同步凍結(jié)，業(yè)務(wù)連續(xù)性瞬間被打斷。而這，僅僅是幾行 PowerShell 代碼的效果。

為了掩蓋自己的行為，事后 Maxwell Schultz 還上網(wǎng)搜索了如何刪除系統(tǒng)日志，并成功清除了多條 PowerShell 事件記錄。雖然沒(méi)能完全抹掉痕跡，但這也大幅提升了事后的取證難度。

員工停工、客服中斷，企業(yè)損失超 86 萬(wàn)美元

司法部公布的信息顯示，此次 Maxwell Schultz 的攻擊造成 86.2 萬(wàn)美元以上的損失，主要來(lái)自三部分：

（1）大量員工停工：數(shù)千名員工無(wú)法登錄電腦，自然無(wú)法開(kāi)展任何與系統(tǒng)相關(guān)的操作，可企業(yè)每天支付的薪酬成本并不會(huì)因此暫停。

（2）客戶服務(wù)體系癱瘓：Waste Management 的客服體系高度依賴內(nèi)部工單與處理系統(tǒng)，密碼被重置后，客服無(wú)法訪問(wèn)后臺(tái)系統(tǒng)，導(dǎo)致服務(wù)中斷。

（3）恢復(fù)網(wǎng)絡(luò)的人工成本：這包括重新建立賬號(hào)、恢復(fù)系統(tǒng)、梳理日志、排查可能的額外破壞等所有技術(shù)行為。而大規(guī)模權(quán)限恢復(fù)對(duì) IT 團(tuán)隊(duì)來(lái)說(shuō)，往往意味著數(shù)日甚至數(shù)周的加班。

以上這些，這還不算公司名譽(yù)影響、合同延誤等長(zhǎng)期成本。某位參與事件調(diào)查的工程師形容：“這是普通技術(shù)人不會(huì)想到的攻擊方式，但對(duì)內(nèi)部結(jié)構(gòu)熟悉的人來(lái)說(shuō)，它簡(jiǎn)單到令人后怕。”

動(dòng)機(jī)只有一個(gè)：“被開(kāi)除而不爽”

面對(duì) DOJ 的調(diào)查，Maxwell Schultz 坦白了自己的動(dòng)機(jī)：“因?yàn)楸唤夤投凰！?/p>

是的，他不是為了勒索，也不是被人指使，更沒(méi)有復(fù)雜的攻擊流程，純純就是為了泄憤。

目前，該案件已移交至美國(guó)聯(lián)邦地區(qū)法院，預(yù)計(jì) 2026 年 1 月 30 日宣判，屆時(shí) Maxwell Schultz 可能面臨最高 10 年聯(lián)邦監(jiān)禁 + 25 萬(wàn)美元罰款。

針對(duì)此事，網(wǎng)絡(luò)安全專家指出，這類因不滿被解雇而發(fā)起的“內(nèi)鬼攻擊”（insider threat）正在快速增加，尤其是像能源和科技行業(yè)這種依賴外包、且外包人員權(quán)限較高的地區(qū)。美國(guó)網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局（CISA）也多次提醒企業(yè)，要對(duì)前員工、前外包人員的權(quán)限回收極度重視。

畢竟，類似的“內(nèi)鬼攻擊”事件可謂是層出不窮。例如，今年 5 月美國(guó)最大加密貨幣交易所 Coinbase 遭遇內(nèi)鬼勾結(jié)黑客勒索 2000 萬(wàn)美元，致使平臺(tái)管理深層漏洞暴露，損失超 4 億美元；去年 5 月，F(xiàn)inWise 銀行也因前員工竊取數(shù)據(jù)導(dǎo)致近 70 萬(wàn)用戶信息泄露。

你能說(shuō)這些公司的安全管理機(jī)制不完善嗎？實(shí)際上，多數(shù)公司都會(huì)關(guān)注防火墻、入侵檢測(cè)、勒索軟件防護(hù)，但往往忽略了“人”——尤其是那些曾擁有較高權(quán)限、了解內(nèi)部流程、并深知系統(tǒng)弱點(diǎn)的工程師。

而他們要發(fā)起攻擊，都不需要太高級(jí)的技術(shù)，只要情緒失控，就能用最簡(jiǎn)單的方式造成最嚴(yán)重的后果。

參考鏈接：https://www.justice.gov/usao-sdtx/pr/former-contractor-admits-hacking-employer-retaliation-termination

【活動(dòng)分享】2025 年是 C++ 正式發(fā)布以來(lái)的 40 周年，也是全球 C++ 及系統(tǒng)軟件技術(shù)大會(huì)舉辦 20 周年。這一次，C++ 之父 Bjarne Stroustrup 將再次親臨「2025 全球 C++及系統(tǒng)軟件技術(shù)大會(huì)」現(xiàn)場(chǎng)，與全球頂尖的系統(tǒng)軟件工程師、編譯器專家、AI 基礎(chǔ)設(shè)施研究者同臺(tái)對(duì)話。

本次大會(huì)共設(shè)立現(xiàn)代 C++ 最佳實(shí)踐、架構(gòu)與設(shè)計(jì)演化、軟件質(zhì)量建設(shè)、安全與可靠、研發(fā)效能、大模型驅(qū)動(dòng)的軟件開(kāi)發(fā)、AI 算力與優(yōu)化、異構(gòu)計(jì)算、高性能與低時(shí)延、并發(fā)與并行、系統(tǒng)級(jí)軟件、嵌入式系統(tǒng)十二大主題，共同構(gòu)建了一個(gè)全面而立體的知識(shí)體系，確保每一位參會(huì)者——無(wú)論是語(yǔ)言愛(ài)好者、系統(tǒng)架構(gòu)師、性能優(yōu)化工程師，還是技術(shù)管理者——都能在這里找到自己的坐標(biāo)，收獲深刻的洞見(jiàn)與啟發(fā)。詳情參考官網(wǎng)：https://cpp-summit.org/