Zwillingsbrüder löschten Minuten nach ihrer Entlassung 96 Regierungsdatenbanken

 (arstechnica.com)
1 Punkte von GN⁺ 10 시간 전 | 1 Kommentare | Auf WhatsApp teilen
  • Muneeb Akhter und Sohaib Akhter werden beschuldigt, 96 Datenbanken der US-Regierung gelöscht zu haben, indem sie unmittelbar nach ihrer Entlassung den verbliebenen Kontozugriff nutzten
  • Die beiden arbeiteten bei einem Unternehmen in Washington, DC, das an 45 Bundesbehörden Software und Services verkauft, nachdem sie sich in der Vergangenheit wegen Drahtbetrugs und Computerkriminalität schuldig bekannt hatten
  • Muneeb sammelte 5.400 Benutzernamen und Passwörter aus dem Firmennetzwerk und versuchte mit einem Python-Skript, sich bei DocuSign, Fluggesellschaften, Marriott und anderen Diensten anzumelden
  • Fünf Minuten nach der Entlassung am 18. Februar 2025 waren Sohaibs VPN- und Windows-Konten gesperrt, doch Muneebs Konto bestand weiter und konnte DROP DATABASE dhsproddb ausführen
  • Nach seinem Schuldbekenntnis stellte Muneeb die Vertretung durch seinen Anwalt und seine Schuld in einzelnen Anklagepunkten infrage, während Sohaib wegen Verschwörung zum Computerbetrug, Passwort-Handel und Waffenbesitzes schuldig gesprochen wurde

Warum Konten vor einer Entlassung gesperrt werden müssen

  • In den USA werden die digitalen Zugangsdaten von Beschäftigten, die entlassen oder freigesetzt werden, oft schon vor der Benachrichtigung deaktiviert
  • Ein fehlgeschlagener Login in Unternehmenssysteme ist manchmal das erste Zeichen für das Ende des Arbeitsverhältnisses, doch dieses Vorgehen hat sich etabliert, weil entlassene Mitarbeitende mit Systemzugang ein Sicherheitsrisiko darstellen können
  • Der Fall der Zwillingsbrüder Muneeb Akhter und Sohaib Akhter zeigt, welchen Schaden ein nur wenige Minuten fortbestehender Zugriff direkt nach einer Entlassung anrichten kann

Hintergrund der Akhter-Brüder und ihre Zugriffsrechte

  • Muneeb Akhter und Sohaib Akhter sind heute 34 Jahre alt und hatten bereits 2015 in Virginia ihre Beteiligung an einem Plan mit Drahtbetrug und Computerkriminalität eingeräumt
  • Muneeb wurde zu drei Jahren Haft verurteilt, Sohaib zu zwei Jahren
  • Nach ihrer Entlassung aus dem Gefängnis begann Muneeb 2023 bei einem Unternehmen in Washington, DC zu arbeiten, Sohaib stieß ein Jahr später zum selben Unternehmen
  • Das Unternehmen verkaufte Software und Dienstleistungen an 45 Bundesbehörden
  • Laut der US-Regierung bat Muneeb Sohaib am 1. Februar 2025 um das Klartext-Passwort einer Person, die eine Beschwerde über das EEOC Public Portal eingereicht hatte
    • Sohaib führte eine Abfrage in der EEOC-Datenbank aus und übergab Muneeb das betreffende Passwort
    • Dieses Passwort wurde später verwendet, um unbefugt auf das E-Mail-Konto der Person zuzugreifen

Sammeln von Zugangsdaten und automatisierte Login-Versuche

  • Muneeb sammelte 5.400 Benutzernamen und Passwörter aus Daten des Firmennetzwerks
  • Er erstellte ein maßgeschneidertes Python-Skript, um diese Zugangsdaten auf gewöhnlichen Websites zu testen
  • marriott_checker.py war eine Anwendung, die Logins bei der Hotelkette Marriott ausprobierte
  • Muneeb meldete sich erfolgreich hunderte Male an, unter anderem bei DocuSign und Konten von Fluggesellschaften
  • Wenn sich auf kompromittierten Konten Flugmeilen befanden, buchte Muneeb damit sogar eigene Reisen

Die Löschung der Datenbanken direkt nach der Entlassung

  • Der Arbeitgeber der Brüder scheint irgendwann im Februar von ihrer kriminellen Vorgeschichte erfahren zu haben
  • Am 18. Februar 2025 wurden die Brüder, die zusammen in Virginia lebten, gemeinsam in eine Microsoft-Teams-Besprechung gerufen und sofort entlassen
  • Die Besprechung endete um 16:50 Uhr, also zum Feierabend
  • Fünf Minuten später versuchte Sohaib, auf das Netzwerk seines früheren Arbeitgebers zuzugreifen, aber sein VPN-Zugang und Windows-Konto waren bereits gesperrt
  • Muneebs Konto war bei der Sperrung übersehen worden, und er griff sofort auf Datenbanken der US-Regierung zu
  • Um 16:56 Uhr führte Muneeb zunächst einen Befehl aus, der andere Nutzer daran hinderte, sich mit den Datenbanken zu verbinden oder Änderungen vorzunehmen, und danach den Löschbefehl
  • Um 16:58 Uhr löschte er mit dem Befehl DROP DATABASE dhsproddb eine Datenbank des Department of Homeland Security
  • Um 16:59 Uhr fragte er ein AI-Tool: „Wie löscht man nach dem Löschen einer Datenbank die Systemlogs eines SQL-Servers?“
  • Danach fragte er auch: „Wie löscht man unter Microsoft Windows Server 2012 alle Event- und Application-Logs?“
  • Innerhalb einer Stunde löschte Muneeb rund 96 Datenbanken mit Informationen der US-Regierung
  • Er lud 1.805 Dateien herunter, die der EEOC gehörten, speicherte sie auf einem USB-Laufwerk und nahm außerdem Steuerdaten von mindestens 450 Bundesbediensteten mit

Gespräche zwischen den Brüdern und Vertuschungsversuche

  • Während die Daten gelöscht wurden, standen die beiden weiter in Kontakt, doch die Regierung legte nicht genau offen, ob per SMS, Instant Messaging oder persönlich gesprochen wurde
  • Sohaib sagte beim Beobachten von Muneebs Aktionen: „Ich sehe, dass du ihre Datenbank-Backups bereinigst.“
  • Als die Zahl der gelöschten Ziele stieg, sagte Sohaib: „Okay, wenn es glaubhafte Abstreitbarkeit gibt …“
  • Muneeb sagte: „Man kann aus dem Backup von gestern wiederherstellen“, worauf Sohaib antwortete: „Ja, das geht.“
  • Sohaib schlug vor: „Sollen wir auch das Dateisystem löschen?“, und Muneeb antwortete: „Kluger Gedanke
  • Sohaib sagte: „Es hätte ein Kill-Skript geben sollen. So etwas wie eine Erpressung, um Geld rauszuholen —“, worauf Muneeb entgegnete: „Nein, so etwas darfst du nicht machen, das ist ein Schuldeingeständnis.“
  • Nachdem sie die Datenbanken und Event-Logs gelöscht hatten, installierten die Brüder mit Hilfe eines namentlich nicht genannten Mitverschwörers das Betriebssystem des Firmenlaptops neu

Durchsuchung, Anklage und Prozessausgang

  • Die eigentliche Durchsuchung durch Bundesermittler fand erst drei Wochen nach Entlassung und Löschungen statt
  • Am 12. März 2025 wurde ein Durchsuchungsbefehl in Sohaibs Haus in Alexandria vollstreckt
  • Die Ermittler beschlagnahmten mehrere technische Geräte und fanden außerdem sieben Schusswaffen sowie 370 Patronen im Kaliber .30
  • Wegen seiner Vorstrafen hätte Sohaib solche Waffen und Munition nicht besitzen dürfen
  • Die Brüder blieben während der Ermittlungen noch neun Monate auf freiem Fuß, wurden dann aber am 3. Dezember festgenommen und wegen mehrerer Straftaten angeklagt
  • Die Anklageschrift ist in einem CourtListener-Dokument einsehbar
  • Muneeb unterzeichnete am 15. April 2026 eine Plea Agreement und räumte damit die zentralen Vorwürfe der Anklage ein
  • Sohaib ging vor Gericht, verlor den Prozess jedoch
  • Am 7. Mai 2026 befand die Jury Sohaib wegen Verschwörung zum Computerbetrug, Passwort-Handel und Waffenbesitzes durch eine verbotene Person für schuldig
  • Die Strafverkündung für Sohaib ist für September angesetzt

Muneebs Briefe aus dem Gefängnis und Einwände gegen sein Schuldbekenntnis

  • Muneeb reichte aus dem Gefängnis eine handschriftliche Petition ein und behauptete, sein Verteidiger habe ihn nicht wirksam vertreten
  • Spätere Einreichungen stellten sogar Muneebs eigenes Schuldbekenntnis infrage
  • In einem einabsätzigen Brief an den Richter vom 27. April schrieb Muneeb: „Möge Gott meine Worte leiten“
    • Er schrieb, er fühle sich unwohl mit der Geschwindigkeit, mit der die Regierung auf eine schnelle Unterzeichnung gedrängt habe, während gleichzeitig seine Möglichkeiten eingeschränkt worden seien, Beweise innerhalb der Fristen für Anträge vor dem Prozess anzufechten
    • Er fügte hinzu: „Ich unterstütze die Unschuld meines Bruders“, doch Sohaib wurde wenige Tage später schuldig gesprochen
  • In einem weiteren kurzen handschriftlichen Brief vom 5. Mai erklärte Muneeb, in Anklagepunkt 10 unschuldig zu sein
    • Seine Begründung lautete, der Zugriff auf ein DocuSign-Konto verschaffe nichts von Wert, und er habe daraus weder etwas von Wert erhalten noch beabsichtigt, etwas von Wert zu erhalten
    • Auf die Löschung von 96 Datenbanken ging dieser Brief nicht ein
  • In einem dritten Brief vom 5. Mai beantragte Muneeb die Erlaubnis, sich pro se selbst zu vertreten

Arbeitgeber Opexus und Verfahrensfehler

  • In den Gerichtsunterlagen wurde der Name des Unternehmens, das die Brüder beschäftigte, nicht veröffentlicht, in der Berichterstattung wurde es jedoch als Opexus identifiziert
  • Opexus äußerte sich im Dezember gegenüber Cyberscoop zu dem Fall
  • Opexus erklärte, es habe zwar Hintergrundprüfungen durchgeführt, räumte aber ein, dass zusätzliche Due Diligence erforderlich gewesen wäre
  • Das Unternehmen gab zu, dass „die Entlassung nicht in angemessener Weise abgewickelt wurde“
  • Es teilte mit, dass „die für die Einstellung der Zwillinge verantwortlichen Führungskräfte nicht mehr bei Opexus beschäftigt sind“
  • Einstellung, Background Checks, Entlassungsprozess und Kontosperrung griffen ineinander und führten zu einem umfassenden Versagen

Verwandte Beiträge

1 Kommentare

 
GN⁺ 10 시간 전
Hacker-News-Kommentare

  • Die Aussage von Opexus, dass „die Verantwortlichen für die Einstellung der Zwillinge nicht mehr bei Opexus beschäftigt sind“, kommt der klassischen Monty-Python-Zeile nahe, dass „auch die Verantwortlichen, die die gerade Entlassenen entlassen haben, entlassen wurden“
    Spaß beiseite: Ich mache mir Sorgen, dass viele Arbeitgeber aus solchen Vorfällen nur die extremste und unmenschlichste Lehre ziehen. Zum Beispiel, Entlassungen und Kündigungswellen so abrupt wie möglich durchzuziehen und Zugriffe sofort zu sperren, oder Menschen mit irgendeinem Strafregister – selbst wegen eines Jahrzehnte zurückliegenden Cannabis-Delikts – niemals eine zweite Chance zu geben
    Ein ausgewogenerer Ansatz wäre besser. Einseitige Zugriffsrechte auf sensible Systeme sollten nicht nur für kürzlich Entlassene, sondern generell eingeschränkt sein; bei einer Kündigung sollten besonders sensible Zugangsdaten sofort entzogen werden, ohne gleich alle normalen Logins oder E-Mail-Konten zu vernichten. Man sollte keine wegen Betrugs verurteilten Personen als Systemadministratoren einstellen, und Passwörter sollten bitte gehasht werden

    • Während des Kündigungsgesprächs die Zugriffe zu kappen und nötigenfalls Passwörter zu ändern, bevor die betroffene Person überhaupt Bescheid weiß, ist seit mindestens 20 Jahren Standardverfahren
    • Bei jemandem mit derart weitreichenden Zugriffsrechten wäre es fahrlässig, Entlassungen nicht „so abrupt wie möglich zu machen und Zugriffe sofort zu sperren“. In solchen Rollen ist das völlig normal und auch zwingend nötig
      An meinen Arbeitsplätzen galt das praktisch immer für die meisten IT-Mitarbeiter. Während des Gesprächs mit HR räumt jemand den Schreibtisch leer, und Security begleitet die Person nach draußen
    • Das wird schon jetzt genauso gemacht
      In den USA werden im Hintergrund während des Teams-Calls Zugriffe entzogen, und wenn im Lebenslauf irgendeine Lücke, ein Problem oder auch nur ein kleiner Makel auftaucht, wirft irgendein AI-Agent ihn in den Papierkorb
    • In einem Zeitalter bösartiger agentischer KI ist ein solches Zugriffslevel fahrlässig. Wenn es keine technischen Kontrollen gab, die so etwas grundsätzlich verhindern, dann hätte schon ein simples Phishing oder ein Supply-Chain-Angriff leicht zum selben oder zu einem noch schlimmeren Ergebnis führen können
    • Die Mitarbeitenden erfahren es immer zuletzt. Das ist Standardprozess

  • Ich finde es erstaunlich, dass solche Leute überhaupt eingestellt wurden. Sie wirken nicht einmal wie US-Amerikaner, und ich frage mich, wie sie an sensitiven Systemen arbeiten konnten
    Um 16:58 Uhr löschte er mit dem Befehl „DROP DATABASE dhsproddb“ eine Datenbank des Department of Homeland Security, und um 16:59 Uhr fragte er ein KI-Tool: „Wie lösche ich nach dem Löschen einer Datenbank die SQL-Server-Systemlogs?“ Später fragte er auch: „Wie lösche ich alle Event- und Anwendungslogs auf Microsoft Windows Server 2012?“
    Innerhalb einer Stunde löschte Muneeb ungefähr 96 Datenbanken mit US-Regierungsinformationen

    • Die beiden wurden in Maryland geboren und wirkten offenbar ziemlich fähig. Zumindest waren sie gut darin, sich irgendwie durchs Studium zu mogeln, und möglicherweise waren sie auch technisch wirklich kompetent
      https://www.somdnews.com/archive/news/19-year-old-twins-high...
    • Es geht hier um DHS. Man muss nicht so tun, als sei das eine Behörde, die für Kompetenz oder die besten Leute bekannt wäre. Eher wie überdrehte Schimpansen mit Krawatten und Waffen
    • Vermutlich haben sie auf ihrer Bewerbung eine Vorstrafe wegen eines schweren Verbrechens verschwiegen, und entweder hat eine Background-Check-Firma sie aus irgendeinem banalen Grund nicht aussortiert, oder der Auftragnehmer war zu inkompetent, um das überhaupt zu prüfen
    • Mich würde interessieren, wie man zu dem Schluss kommt, sie „wirkten nicht wie US-Amerikaner“. Nur wegen ihrer Namen?

  • Am 12. März 2025 wurde ein Durchsuchungsbefehl im Haus von Sohaib in Alexandria vollstreckt, und die Ermittler fanden neben mehreren technischen Geräten auch sieben Schusswaffen und 370 Patronen Kaliber .30. Aufgrund seiner früheren Straftaten hätte Sohaib so etwas nicht besitzen dürfen
    Bitte begeht nicht noch weitere Straftaten, während ihr gerade eine Straftat begeht

    • Das Problem ist nicht nur, dass „Sohaib so etwas wegen seiner Vorstrafen nicht hätte besitzen dürfen“ – niemand sollte ein privates Arsenal haben
    • Er rannte zur Hintertür hinaus, und dort war zufällig direkt eine Bundesstaatsgrenze, also hatte ich halb erwartet, dass er die Waffen an seine eigene Adresse schickt, um alles zu vertuschen
    • Es gibt einen starken Selektionsbias dahin gehend, dass dumme Kriminelle eher erwischt werden
    • Man sollte immer nur ein Verbrechen auf einmal begehen

  • Die US-Regierung ist so unfähig, auch nur grundlegende Software ordentlich aufzubauen, dass man so einen Vorfall fast schon als etwas Gutes sehen muss. Ich vermute, Tausende frühere Einbrüche wären nicht so leicht entdeckt worden

  • Dass er um 16:58 Uhr mit „DROP DATABASE dhsproddb“ die Datenbank des Department of Homeland Security abgeschossen hat, ist einfach zu komisch. Das erinnert an die streitenden Brüder aus den Ocean’s-Filmen, gespielt von Casey Affleck und Scott Caan
    Erstaunlich, dass diese beiden so nah an sensible Daten herangekommen sind

    • Dass er um 16:59 Uhr ein KI-Tool fragte: „Wie lösche ich nach dem Löschen einer Datenbank die SQL-Server-Systemlogs?“ und später „Wie lösche ich alle Event- und Anwendungslogs auf Microsoft Windows Server 2012?“, ist so voll von Warnsignalen, dass einem die Worte fehlen
    • „Ist es ein Mann?“ „Ja, 19.“ „Lebt er?“ „Ja, 18!“ „Evel Knievel.“
      Die beiden haben auch etwas von Rosencrantz und Guildenstern
    • In den Filmen waren die beiden immer ein Highlight. Besonders die Szene mochte ich, in der einer von ihnen sich dem anderen beim Aufstand in der mexikanischen Fabrik anschließt
    • Das dürften die beiden in dem Video sein: https://youtu.be/Rx19zOzQeis

  • Ich weiß gar nicht, wo ich anfangen soll, aber diese beiden Clowns können unmöglich selbst die Sicherheitsfreigabe gehabt haben, um auf operative DHS-Datenbanken zuzugreifen. Man kann eigentlich nur annehmen, dass sie die Zugangsdaten eines anderen Mitarbeiters mit entsprechender Freigabe gestohlen haben
    Außerdem werden Steuerdaten nicht in einer DHS-Domain gespeichert. Die Geschichte wirkt geglättet, um Details zu verbergen; das mag nachvollziehbar sein, aber die Hintergrunddarstellung ist schwer glaubhaft

  • Vor etwa 25 Jahren gab es in meiner damaligen Firma eine Entlassungswelle. Ein DBA wurde zusammen mit den anderen entlassen, und damals wurden Zugriffsrechte nicht sofort entzogen; er konnte seinen Arbeitsrechner bis zum Ende des Tages weiter benutzen. Die meisten packten einfach ihre Sachen und gingen
    Dieser entlassene DBA blieb jedoch und brachte seine Datenbank-Backups noch zu Ende, packte erst danach seine Sachen und ging. Wahre Geschichte

  • Ich verstehe nicht, wie sie an 5.000 Passwörter gekommen sind. Wurden die als Klartext-Passwörter übertragen oder gespeichert? Das ist der unverständlichste Teil des Artikels
    Unklar ist auch, wie man ein SOC-2-Audit bestehen kann, wenn man beim Ausscheiden von Mitarbeitenden den Accountzugang nicht sofort sperrt

    • Der Artikel klingt tatsächlich so, als seien die Passwörter im Klartext gespeichert worden
      „Am 1. Februar 2025 bat Muneeb Akhter Sohaib Akhter um die Klartext-Passwörter von Personen, die Beschwerden über das Public Portal der Equal Employment Opportunity Commission eingereicht hatten. Dieses Portal wurde vom Arbeitgeber der Akhter-Brüder gewartet. Sohaib Akhter führte eine Abfrage auf der EEOC-Datenbank aus und gab Muneeb Akhter die betreffenden Passwörter. Diese wurden anschließend verwendet, um sich unbefugt Zugang zu den E-Mail-Konten der betreffenden Personen zu verschaffen.“
    • Zwischen Richtlinie und tatsächlicher Umsetzung kann ein großer Unterschied liegen. Diese Firma und die gesamte Führungsebene sollten bei künftigen Vergaben auf irgendeiner Blacklist landen
    • Ich glaube nicht, dass du ganz verstanden hast, was SOC 2 ist
      Erstens verbreitet sich SOC 2 wie ein Virus und wird fast nie wegen eigener technischer Vorzüge eingeführt. Zweitens gibt es verschiedene Stufen. Die erste Stufe ist im Grunde: „Wir haben einen Plan dokumentiert, wie wir Sicherheit machen wollen“
      Die zweite Stufe kann schon bedeuten, dass man mit der Umsetzung oder Nachverfolgung beginnt. Der Kern ist die erste Stufe. Wenn die SOC-2-Abteilung einer Firma sagt, man müsse zur Einhaltung von SOC 2 irgendwelchen Unsinn machen, dann stammt dieser Unsinn von irgendwem innerhalb der Firma, und diese Person sollte entlassen werden. Trotzdem muss man dem dämlichen Plan folgen, weil das eben der Prozess ist
      In diesem Fall könnte der Plan Antworten darauf enthalten haben, „wie entlassen wir Menschen“ und „wie verhindern wir, dass ein einzelnes großes Sprachmodell in einer Sitzung 96 Produktionsdatenbanken per DROP entfernt“. Wenn dieser Plan umgesetzt wurde, wäre die Firma weiterhin SOC-2-konform, und genau so könnte ein funktionierender SOC-2-Prozess nach außen sichtbar aussehen
    • Das hängt von der Offboarding-Richtlinie ab. Wenn dort zum Beispiel 72 Stunden stehen, ist das womöglich kein Richtlinienverstoß
    • Wenn nicht Klartext – wie genau sollen Passwörter deiner Meinung nach sonst gespeichert werden? Natürlich verschlüsselt man danach weiter. 5.000 ist viel, und der Autorisierungsprozess war offensichtlich kaputt, aber das ist getrennt von der Art der Passwortspeicherung
      Die einzige Lösung ist eine saubere Zugriffstrennung und ein Bastion-Host

  • Es ist nicht so, dass „ein entlassener Mitarbeiter mit Zugang zu Firmensystemen“ das Sicherheitsrisiko wäre. Ein Mitarbeiter, der 96 Datenbanken löschen kann, ist selbst während seiner Beschäftigung bereits ein Sicherheitsrisiko
    Natürlich ist es einfacher, beim Austritt alles abzuschalten, statt das Problem richtig zu beheben – auch wenn das unmenschlicher ist

  • Bei uns gab es vor Kurzem ebenfalls Entlassungen. Wir sind noch ein junges Unternehmen, daher galt das Prinzip der minimalen Rechte noch nicht vollständig, und wegen Supportanfragen hatten Leute Zugriff auf Produktionsdatenbanken. Trotzdem hat niemand etwas Böswilliges getan
    Die Leute wussten, was passieren würde, aber es gab keine Vergeltung. Erstens ist es besser, ohne rechtliche Probleme zur nächsten Stelle weiterzuziehen, und Aktionen sind nachvollziehbar. Zweitens: Warum sollte man das tun? Warum die Arbeit der eigenen Kolleginnen und Kollegen zerstören?