Des frères jumeaux suppriment 96 bases de données gouvernementales quelques minutes après leur licenciement

 (arstechnica.com)
1 points par GN⁺ 10 시간 전 | 1 commentaires | Partager sur WhatsApp
  • Muneeb Akhter et Sohaib Akhter sont accusés d’avoir supprimé 96 bases de données du gouvernement américain en utilisant un accès à leurs comptes qui était encore actif juste après leur licenciement
  • Les deux hommes avaient auparavant plaidé coupable pour fraude électronique et délits informatiques, puis avaient été embauchés par une entreprise de Washington, DC, qui vend des services à 45 clients fédéraux
  • Muneeb a rassemblé 5 400 noms d’utilisateur et mots de passe récupérés sur le réseau de l’entreprise, puis a utilisé un script Python pour tenter des connexions à DocuSign, à des compagnies aériennes, à Marriott et à d’autres services
  • Le 18 février 2025, cinq minutes après leur licenciement, le VPN et le compte Windows de Sohaib ont été bloqués, mais le compte de Muneeb est resté actif, ce qui a permis l’exécution de DROP DATABASE dhsproddb
  • Après avoir plaidé coupable, Muneeb a contesté des questions liées à sa défense et a affirmé son innocence sur certains chefs d’accusation, tandis que Sohaib a été reconnu coupable de complot en vue de commettre une fraude informatique, de trafic de mots de passe et de possession d’armes à feu

Pourquoi il faut bloquer les comptes avant un licenciement

  • Aux États-Unis, il est fréquent de désactiver les identifiants numériques des personnes visées par un licenciement ou un plan social avant même de les en informer
  • Il arrive qu’un échec de connexion aux systèmes de l’entreprise soit le premier signe de la fin d’un emploi, mais cette procédure s’est imposée parce qu’un salarié licencié qui conserve un accès aux systèmes peut représenter un risque de sécurité
  • L’affaire des frères jumeaux Muneeb Akhter et Sohaib Akhter montre clairement quels dégâts peuvent survenir lorsque des accès restent actifs quelques minutes après un licenciement

Le parcours des frères Akhter et leurs accès

  • Muneeb Akhter et Sohaib Akhter ont aujourd’hui 34 ans et avaient déjà plaidé coupable en 2015, en Virginie, dans une affaire liée à la fraude électronique et à des infractions informatiques
  • Muneeb a été condamné à trois ans de prison, Sohaib à deux ans
  • Après leur sortie de prison, Muneeb a été embauché en 2023 par une entreprise basée à Washington, DC, et Sohaib l’a rejoint un an plus tard
  • Cette entreprise vendait des logiciels et des services à 45 clients fédéraux
  • Selon le gouvernement américain, le 1er février 2025, Muneeb a demandé à Sohaib le mot de passe en clair d’une personne ayant déposé une plainte sur l’EEOC Public Portal
    • Sohaib a exécuté une requête sur la base de données de l’EEOC et a transmis ce mot de passe à Muneeb
    • Ce mot de passe a ensuite été utilisé pour accéder sans autorisation au compte e-mail de cette personne

Collecte d’identifiants et tentatives de connexion automatisées

  • Muneeb rassemblait 5 400 noms d’utilisateur et mots de passe extraits des données du réseau de l’entreprise
  • Il a créé un script Python sur mesure pour tester ces identifiants sur des sites web classiques
  • marriott_checker.py était une application conçue pour tenter des connexions à la chaîne hôtelière Marriott
  • Muneeb a réussi des centaines de connexions, notamment à des comptes DocuSign et de compagnies aériennes
  • Lorsque les comptes compromis contenaient des miles aériens, Muneeb s’en servait parfois pour réserver ses propres voyages

La suppression des bases de données juste après le licenciement

  • L’employeur des deux frères semble avoir découvert leur casier judiciaire à un moment du mois de février
  • Le 18 février 2025, les frères, qui vivaient ensemble en Virginie, ont été convoqués ensemble à une réunion Microsoft Teams et licenciés sur-le-champ
  • La réunion s’est terminée à 16 h 50, à la fin de la journée de travail
  • Cinq minutes plus tard, Sohaib a tenté d’accéder au réseau de son ancien employeur, mais son accès VPN et son compte Windows avaient déjà été désactivés
  • Le compte de Muneeb, lui, n’avait pas été bloqué, et il a immédiatement accédé à des bases de données du gouvernement américain
  • À 16 h 56, Muneeb a exécuté une commande empêchant d’autres utilisateurs de se connecter à la base de données ou de la modifier, puis a lancé une commande de suppression
  • À 16 h 58, il a supprimé la base de données du Department of Homeland Security avec la commande DROP DATABASE dhsproddb
  • À 16 h 59, il a demandé à un outil d’IA : « comment supprimer les journaux système d’un serveur SQL après avoir supprimé la base de données ? »
  • Il a ensuite demandé : « comment effacer tous les événements et journaux applicatifs sous Microsoft Windows Server 2012 ? »
  • En une heure, Muneeb a supprimé environ 96 bases de données contenant des informations du gouvernement américain
  • Il a téléchargé 1 805 fichiers appartenant à l’EEOC et les a stockés sur une clé USB, tout en récupérant aussi les informations fiscales fédérales d’au moins 450 personnes

Les échanges entre les frères et la tentative de dissimulation

  • Pendant que la suppression des données était en cours, les deux hommes ont continué à échanger, mais le gouvernement n’a pas précisé clairement s’il s’agissait de SMS, de messagerie instantanée ou de conversations en face à face
  • En observant ce que faisait Muneeb, Sohaib a déclaré : « Je vois que tu es en train de nettoyer leurs sauvegardes de bases de données »
  • À mesure que le nombre de suppressions augmentait, Sohaib a dit : « Bon, si on a une dénégation plausible »
  • Muneeb a répondu : « Ils peuvent restaurer depuis la sauvegarde d’hier », ce à quoi Sohaib a rétorqué : « Oui, c’est possible »
  • Sohaib a proposé : « On supprime aussi le système de fichiers ? », et Muneeb a répondu : « Bonne idée »
  • Sohaib a ajouté : « Il aurait fallu un kill script. Un truc comme une menace pour extorquer de l’argent — », et Muneeb a répondu : « Non, il ne faut pas faire ça, ce serait une preuve de culpabilité »
  • Après avoir effacé les bases de données et les journaux d’événements, les frères, avec l’aide d’un complice non nommé, ont réinstallé le système d’exploitation de l’ordinateur portable de l’entreprise

Perquisition, inculpation et verdict

  • La perquisition effective des enquêteurs fédéraux n’a eu lieu que trois semaines après le licenciement et les suppressions
  • Le 12 mars 2025, un mandat de perquisition a été exécuté au domicile de Sohaib à Alexandria
  • Les enquêteurs ont saisi plusieurs équipements techniques et ont aussi découvert sept armes à feu ainsi que 370 cartouches de calibre .30
  • En raison de ses antécédents judiciaires, Sohaib n’avait pas le droit de posséder ces armes ni ces munitions
  • Les frères sont restés libres pendant encore neuf mois au cours de l’enquête, avant d’être arrêtés le 3 décembre et inculpés de plusieurs infractions
  • L’acte d’accusation est consultable dans ce document CourtListener
  • Muneeb a signé un accord de plaidoyer le 15 avril 2026, reconnaissant les principaux chefs d’accusation de l’acte
  • Sohaib, lui, est allé jusqu’au procès mais l’a perdu
  • Le 7 mai 2026, le jury a reconnu Sohaib coupable de complot en vue de commettre une fraude informatique, de trafic de mots de passe et de possession d’une arme à feu par une personne interdite
  • Le prononcé de sa peine est prévu pour septembre

La lettre de prison de Muneeb et sa contestation du plaidoyer

  • Depuis la prison, Muneeb a déposé une requête manuscrite affirmant que son avocat n’avait pas été efficace
  • Des documents déposés par la suite remettent en cause le plaidoyer de culpabilité signé par Muneeb lui-même
  • Dans une lettre d’un seul paragraphe envoyée au juge le 27 avril, Muneeb a écrit : « Que Dieu guide mes paroles »
    • Il y écrit qu’il est mal à l’aise avec « la rapidité avec laquelle le gouvernement attendait une signature rapide et avec mon plaidoyer de culpabilité, alors qu’il limitait ma capacité à contester les preuves pendant le délai des requêtes préalables au procès »
    • Il a ajouté : « Je soutiens l’innocence de mon frère », mais Sohaib a été reconnu coupable quelques jours plus tard
  • Une autre courte lettre manuscrite, déposée le 5 mai, affirme que Muneeb est innocent sur le chef 10
    • Selon lui, « l’accès au compte DocuSign n’accorde rien de valeur, et il n’en a rien obtenu de valeur, ni eu l’intention d’en obtenir »
    • Cette lettre ne traite pas de la suppression des 96 bases de données
  • Dans une troisième lettre déposée le 5 mai, Muneeb a demandé l’autorisation d’assurer lui-même sa défense en pro se

L’employeur Opexus et l’échec des procédures

  • Les documents judiciaires ne révélaient pas le nom de l’entreprise qui avait embauché les frères, mais les articles de presse l’ont identifiée comme Opexus
  • En décembre, Opexus a communiqué sa position sur cette affaire auprès de Cyberscoop
  • Opexus a indiqué avoir procédé à une vérification des antécédents, tout en reconnaissant qu’une « due diligence supplémentaire » aurait dû être appliquée
  • L’entreprise a reconnu que « le licenciement n’a pas été géré de manière appropriée »
  • Elle a également précisé que « les responsables du recrutement des jumeaux ne travaillent plus chez Opexus »
  • Entre le recrutement, la vérification des antécédents, la procédure de licenciement et la désactivation des comptes, il s’agit d’un échec global

À lire aussi

1 commentaires

 
GN⁺ 10 시간 전
Avis de Hacker News

  • Le passage où Opexus dit que « les responsables qui ont embauché les jumeaux ne travaillent plus chez Opexus » se rapproche de la réplique culte des Monty Python : « Les responsables du licenciement des gens qui viennent d’être licenciés ont eux aussi été licenciés »
    Blague à part, je crains que beaucoup d’employeurs ne tirent de ce genre d’affaire que les leçons les plus extrêmes et les plus inhumaines. Par exemple, rendre licenciements et plans sociaux aussi soudains que possible, couper immédiatement tous les accès, ou ne jamais accorder de seconde chance à quelqu’un ayant un casier judiciaire, y compris pour une simple possession de cannabis remontant à des décennies
    Une approche plus équilibrée me paraît préférable. L’accès unilatéral aux systèmes sensibles devrait être limité de manière générale, pas seulement pour les personnes récemment licenciées, et lors d’un licenciement il faut couper immédiatement les identifiants les plus sensibles, sans pour autant supprimer tous les accès ordinaires ou les comptes mail. Il ne faut pas recruter comme administrateur système une personne condamnée pour fraude électronique, et par pitié il faut hacher les mots de passe

    • Pendant la réunion d’annonce du licenciement, couper les accès avant même que la personne ne soit informée, et changer les mots de passe si nécessaire, est une procédure standard depuis au moins 20 ans
    • Pour quelqu’un disposant d’un tel niveau d’accès, ne pas « rendre le licenciement aussi soudain que possible et couper immédiatement les accès » relèverait de l’incompétence. Dans ce type de poste, c’est totalement standard et nécessaire
      Là où j’ai travaillé, c’était généralement le cas pour la plupart des employés IT. Pendant l’entretien avec les RH, quelqu’un vidait leur bureau et un agent de sécurité les raccompagnait à la sortie
    • C’est déjà comme ça que ça se passe
      Aux États-Unis, on coupe les accès en arrière-plan pendant une réunion Teams, et s’il y a un trou, un problème ou la moindre petite tache sur un CV, un agent IA l’envoie à la poubelle
    • À l’ère des IA agentiques malveillantes, accorder un tel niveau d’accès relève de la négligence. S’il n’y avait pas de contrôles techniques empêchant qu’une telle chose arrive, alors une simple attaque de phishing ou de supply chain aurait très facilement pu produire le même résultat, voire pire
    • L’employé est toujours la dernière personne à être informée. C’est la procédure standard

  • Je me demande surtout comment des gens comme ça ont pu être embauchés. Ils n’ont même pas l’air américains, alors comment ont-ils pu travailler sur des systèmes sensibles ?
    À 16 h 58, il a supprimé une base du Department of Homeland Security avec la commande « DROP DATABASE dhsproddb », et à 16 h 59 il a demandé à un outil d’IA : « comment effacer les journaux système de SQL Server après suppression d’une base de données ? » Plus tard, il a aussi demandé : « comment effacer tous les journaux d’événements et d’applications de Microsoft Windows Server 2012 ? »
    En moins d’une heure, Muneeb a supprimé environ 96 bases de données contenant des informations du gouvernement américain

    • Les deux sont nés dans le Maryland et semblent avoir été assez compétents. Au minimum, ils étaient doués pour tricher dans leurs études, et ils étaient peut-être aussi réellement compétents techniquement
      https://www.somdnews.com/archive/news/19-year-old-twins-high...
    • C’est le DHS. Inutile de faire semblant qu’il est connu pour recruter des gens compétents ou les meilleurs talents. On est plus proche de chimpanzés caricaturaux en cravate avec un flingue
    • Ils ont probablement dissimulé une condamnation pour crime grave dans leur dossier de candidature, et pour une raison banale l’entreprise chargée de la vérification des antécédents ne l’a pas détectée, ou bien le prestataire était tellement incompétent qu’il n’a même pas vérifié
    • Je me demande comment on en arrive à la conclusion qu’ils « n’ont pas l’air américains ». C’est juste à cause de leur nom ?

  • Le 12 mars 2025, un mandat de perquisition a été exécuté au domicile de Sohaib à Alexandria, et les agents y ont trouvé plusieurs équipements techniques ainsi que 7 armes à feu et 370 cartouches de calibre .30. Au vu de ses antécédents judiciaires, Sohaib n’avait pas le droit de posséder tout cela
    S’il vous plaît, quand on commet déjà un crime, qu’on évite d’en commettre un autre en plus

    • Ce n’est pas seulement que « Sohaib n’avait pas le droit de posséder tout cela au vu de ses antécédents », c’est que personne ne devrait avoir un arsenal personnel
    • Il est parti en courant par la porte de derrière, et comme il y avait justement une frontière d’État, je m’attendais presque à le voir s’envoyer ses armes par la poste à son propre domicile pour tout couvrir
    • Il existe un fort biais de sélection en faveur de l’arrestation des criminels stupides
    • Il faut commettre les crimes un par un

  • Le gouvernement américain est tellement incompétent pour construire ne serait-ce que des logiciels de base qu’on en vient presque à voir cet incident comme une bonne chose. À mon avis, des milliers d’intrusions précédentes n’auraient pas été détectées aussi facilement

  • Le passage où, à 16 h 58, il a supprimé la base du Department of Homeland Security avec « DROP DATABASE dhsproddb » est trop drôle. Ces deux frères qui se chamaillent font penser à des personnages d’un film Ocean’s, joués par Casey Affleck et Scott Caan
    Ce qui est stupéfiant, c’est qu’ils aient pu s’approcher autant de données sensibles

    • Le fait qu’à 16 h 59 il demande à un outil d’IA « comment effacer les journaux système de SQL Server après suppression d’une base de données ? », puis plus tard « comment effacer tous les journaux d’événements et d’applications de Microsoft Windows Server 2012 ? », c’est un enchaînement de signaux d’alerte tellement énorme que ça laisse sans voix
    • « C’est un homme ? » « Oui, 19. » « Il est vivant ? » « Oui, 18 ! » « Evel Knievel. »
      Ces deux-là ont aussi un petit côté Rosencrantz and Guildenstern
    • Dans les films, ces deux-là étaient toujours parmi les meilleurs moments. J’ai particulièrement aimé la scène où l’un rejoint l’autre pendant l’émeute dans l’usine mexicaine
    • Je crois que ce sont eux dans cette vidéo : https://youtu.be/Rx19zOzQeis

  • Je ne sais même pas par où commencer, mais il est impossible que ces deux clowns aient obtenu une habilitation de sécurité leur donnant accès aux bases de données de production du DHS. La seule explication plausible, c’est qu’ils aient volé les identifiants d’un autre employé disposant de ce niveau d’habilitation
    En plus, les dossiers fiscaux ne sont pas stockés sur le domaine du DHS. On a l’impression que le récit a été lissé pour masquer les détails, ce qui peut se comprendre, mais l’explication de contexte paraît peu crédible

  • Il y a environ 25 ans, il y a eu un plan social dans l’entreprise où je travaillais. Un DBA a été licencié en même temps que d’autres, mais à l’époque on ne retirait pas immédiatement les accès et il pouvait encore utiliser son ordinateur pro jusqu’à la fin de la journée. La plupart des gens pliaient bagage et partaient
    Mais ce DBA licencié est resté et a terminé les sauvegardes des bases dont il s’occupait, puis il a fait ses cartons et il est parti. Histoire vraie

  • Je ne comprends pas comment ils ont pu accéder à 5 000 mots de passe. Ils étaient transmis ou stockés en clair ? C’est la partie la plus difficile à comprendre dans l’article
    Un autre point peu clair, c’est comment on peut réussir un audit SOC 2 sans couper les accès aux comptes au moment exact de la fin de contrat

    • À lire l’article, on dirait bien que les mots de passe étaient réellement stockés en clair
      « Le 1er février 2025, Muneeb Akhter a demandé à Sohaib Akhter les mots de passe en clair de personnes ayant déposé une plainte sur le Public Portal de l’Equal Employment Opportunity Commission. Ce portail était maintenu par l’employeur des frères Akhter. Sohaib Akhter a exécuté une requête sur la base de données de l’EEOC, puis a fourni ces mots de passe à Muneeb Akhter. Ces mots de passe ont ensuite été utilisés pour accéder sans autorisation aux comptes mail de ces personnes. »
    • La politique et son exécution réelle peuvent être deux choses différentes. Cette entreprise et toute sa direction devraient figurer sur la liste noire de quelqu’un pour les futurs marchés publics
    • Tu n’as pas l’air de bien comprendre ce qu’est SOC 2
      D’abord, SOC 2 se propage comme un virus et n’est presque jamais adopté pour ses mérites techniques intrinsèques. Ensuite, il existe plusieurs niveaux. Le premier, c’est grosso modo : « nous avons rédigé un document expliquant comment nous comptons faire la sécurité »
      Le deuxième niveau peut consister à commencer à mettre en œuvre ce plan ou à en suivre l’exécution. Le cœur du sujet, c’est ce premier niveau. Si le service SOC 2 d’une entreprise te dit de faire quelque chose de stupide au nom de la conformité SOC 2, cette stupidité vient de quelqu’un dans l’entreprise, et c’est cette personne qu’il faudrait licencier. Mais il faut quand même suivre ce plan stupide, parce que c’est la procédure
      Dans ce cas, il est possible que le plan contienne une réponse à « comment licencier quelqu’un » et à « comment empêcher un grand modèle de langage de DROP 96 bases de production en une seule session ». Si ce plan a été mis en œuvre, l’entreprise reste conforme SOC 2, et c’est peut-être exactement à cela qu’un processus SOC 2 fonctionnel est censé ressembler quand on l’observe de l’extérieur
    • Tout dépend de la politique d’offboarding. Si la politique prévoit 72 heures, par exemple, il n’y a peut-être pas eu de violation de la politique
    • Si ce n’est pas en clair, alors comment voudrais-tu exactement que les mots de passe soient stockés ? Il faut bien sûr les chiffrer ensuite. 5 000, c’est énorme, et oui, le processus d’autorisation était défaillant, mais c’est un sujet distinct du mode de stockage des mots de passe
      La seule solution, c’est une séparation correcte des accès et un bastion

  • Le vrai problème, ce n’est pas « un employé licencié qui conserve l’accès aux systèmes de l’entreprise, c’est un risque de sécurité ». Un employé capable de supprimer 96 bases de données est déjà, même en poste, un risque de sécurité
    Bien sûr, il est plus simple de choisir la voie inhumaine consistant à tout couper au moment du départ plutôt que de corriger correctement le problème

  • Il y a récemment eu un plan social dans notre entreprise aussi. C’est encore une jeune société, donc le principe du moindre privilège n’était pas appliqué et des gens pouvaient accéder aux bases de production pour traiter des demandes de support. Pourtant, personne n’a rien fait de mal
    Tout le monde savait ce qui allait arriver, mais il n’y a eu aucune représaille. D’abord parce qu’il vaut mieux partir vers son prochain poste sans se créer de problèmes juridiques, et que les actions sont traçables. Ensuite, pourquoi faire ça ? Pourquoi saboter le travail de ses collègues ?