İkiz kardeşler, işten çıkarıldıktan dakikalar sonra 96 devlet veritabanını sildi

 (arstechnica.com)
1 puan yazan GN⁺ 10 시간 전 | 1 yorum | WhatsApp'ta paylaş
  • Muneeb Akhter ve Sohaib Akhter, işten çıkarıldıktan hemen sonra açık kalan hesap erişimlerini kullanarak ABD hükümetine ait 96 veritabanını sildikleri iddiasıyla suçlanıyor
  • İkili, geçmişte banka havalesi dolandırıcılığı ve bilgisayar suçları nedeniyle suçunu kabul ettikten sonra, 45 federal müşteriye hizmet satan Washington, DC merkezli bir şirkette işe başladı
  • Muneeb, şirket ağından elde ettiği 5.400 kullanıcı adı ve parolayı topladı ve bunları DocuSign, havayolu şirketleri, Marriott gibi hizmetlerde denemek için bir Python betiği kullandı
  • 18 Şubat 2025'te işten çıkarılmalarından 5 dakika sonra Sohaib'in VPN ve Windows hesabı engellendi, ancak Muneeb'in hesabı açık kaldı ve DROP DATABASE dhsproddb komutunu çalıştırabildi
  • Muneeb, suçunu kabul ettikten sonra avukatlığıyla ilgili sorunlar ve bazı suçlamalarda masumiyet iddiası öne sürdü; Sohaib ise bilgisayar dolandırıcılığı komplosu, parola ticareti ve silah bulundurma suçlarından suçlu bulundu

İşten çıkarılmadan önce hesapların neden kapatılması gerekir?

  • ABD'de işten çıkarılan ya da toplu işten çıkarma kapsamındaki kişilerin dijital kimlik bilgileri, bildirim yapılmadan önce çoğu zaman devre dışı bırakılır
  • Bazen şirket sistemlerine girişin başarısız olması, iş ilişkisinin sona erdiğinin ilk işareti olur; ancak sistem erişimi olan işten çıkarılmış çalışanların güvenlik riski oluşturabilmesi, bu uygulamanın yerleşmesine yol açtı
  • İkiz kardeşler Muneeb Akhter ve Sohaib Akhter olayı, işten çıkarılmanın hemen ardından birkaç dakika boyunca açık kalan erişimin ne tür zararlara yol açabileceğini gösteriyor

Akhter kardeşlerin geçmişi ve erişim yetkileri

  • Muneeb Akhter ve Sohaib Akhter şu anda 34 yaşında ve 2015'te Virginia'da banka havalesi dolandırıcılığı ve bilgisayar bağlantılı suçları içeren bir plana karıştıkları için suçlarını kabul etmişlerdi
  • Muneeb 3 yıl, Sohaib ise 2 yıl hapis cezası aldı
  • Tahliyeden sonra Muneeb, 2023'te Washington, DC'de bulunan bir şirkette işe başladı; Sohaib ise bir yıl sonra aynı şirkete katıldı
  • Bu şirket, 45 federal müşteriye yazılım ve hizmet satıyordu
  • ABD hükümetine göre, 1 Şubat 2025'te Muneeb, Sohaib'den EEOC Public Portal'a şikâyet başvurusu yapan bir kişinin düz metin parolasını istedi
    • Sohaib, EEOC veritabanında bir sorgu çalıştırarak bu parolayı Muneeb'e verdi
    • Bu parola daha sonra o kişinin e-posta hesabına yetkisiz erişim için kullanıldı

Kimlik bilgisi toplama ve otomatik giriş denemeleri

  • Muneeb, şirket ağı verilerinden aldığı 5.400 kullanıcı adı ve parolayı topluyordu
  • Bu giriş bilgilerini genel web sitelerinde denemek için özel bir Python betiği yazdı
  • marriott_checker.py, Marriott otel zincirinin girişlerini denemeye yarayan bir uygulamaydı
  • Muneeb, DocuSign ve havayolu hesapları da dahil olmak üzere yüzlerce kez giriş yapmayı başardı
  • Kurban hesaplarında havayolu milleri varsa, Muneeb bunları kendi seyahatlerini ayırtmak için kullandı

İşten çıkarılmanın hemen ardından veritabanı silinmesi

  • Kardeşlerin işvereninin, şubat ayı içinde bir noktada ikilinin sabıka geçmişini öğrendiği anlaşılıyor
  • 18 Şubat 2025'te Virginia'da birlikte yaşayan kardeşler, birlikte bir Microsoft Teams toplantısına çağrıldı ve derhal işten çıkarıldı
  • Toplantı, iş gününün bitişi olan 16:50'de sona erdi
  • Beş dakika sonra Sohaib eski işvereninin ağına erişmeye çalıştı, ancak VPN erişimi ve Windows hesabı çoktan kapatılmıştı
  • Muneeb'in hesabı engellenecekler arasında yer almamıştı ve o da hemen ABD hükümeti veritabanlarına erişti
  • Saat 16:56'da Muneeb, başka kullanıcıların veritabanına bağlanmasını veya değişiklik yapmasını engelleyen bir komut çalıştırdıktan sonra veritabanı silme komutunu yürüttü
  • Saat 16:58'de DROP DATABASE dhsproddb komutuyla Department of Homeland Security veritabanını sildi
  • Saat 16:59'da bir yapay zeka aracına, “Bir veritabanını sildikten sonra SQL sunucusunun sistem loglarını nasıl silerim?” diye sordu
  • Ardından “Microsoft Windows Server 2012'de tüm event ve application loglarını nasıl silerim?” diye de sordu
  • Bir saat içinde Muneeb, ABD hükümeti bilgileri içeren yaklaşık 96 veritabanını sildi
  • EEOC'ye ait 1.805 dosyayı indirip bir USB sürücüde sakladı ve en az 450 kişinin federal vergi bilgilerini de aldı

Kardeşler arasındaki konuşmalar ve örtbas girişimi

  • Veri silme sürerken ikili konuşmaya devam etti, ancak hükümet bu iletişimin mesajla mı, anlık mesajlaşmayla mı yoksa yüz yüze mi gerçekleştiğini net olarak açıklamadı
  • Sohaib, Muneeb'in yaptıklarını izlerken “Onların veritabanı yedeklerini temizlediğini görüyorum” dedi
  • Silinecek hedefler arttıkça Sohaib, “Güzel, yeter ki makul inkâr edilebilirlik olsun” dedi
  • Muneeb, “Dünkü yedekten geri yükleyebilirler” dedi; Sohaib de “Evet, olabilir” diye yanıt verdi
  • Sohaib, “Dosya sistemini de silelim mi?” diye önerdi; Muneeb ise “Akıllıca bir fikir” dedi
  • Sohaib, “Bir kill script olmalıydı. Para koparmaya yönelik bir tehdit gibi—” dedi; Muneeb ise “Hayır, öyle bir şey yapmamalıyız, bu suçluluğun kanıtı olur” diye karşılık verdi
  • Veritabanlarını ve event loglarını sildikten sonra kardeşler, adı açıklanmayan bir suç ortağının yardımıyla şirket dizüstü bilgisayarının işletim sistemini yeniden kurdu

Arama, suçlama ve dava sonucu

  • Federal soruşturmacıların fiili araması, işten çıkarma ve silme olayından 3 hafta sonra gerçekleşti
  • 12 Mart 2025'te Alexandria'daki Sohaib'in evinde arama emri uygulandı
  • Soruşturmacılar çeşitli teknik ekipmanlara el koydu; ayrıca 7 ateşli silah ve .30 kalibre 370 mermi de buldu
  • Sohaib'in geçmiş sabıkası nedeniyle bu silahları ve mühimmatı bulundurmaması gerekiyordu
  • Kardeşler, soruşturma sürerken 9 ay daha serbest kaldı ancak 3 Aralık'ta tutuklanarak çeşitli suçlarla itham edildi
  • İddianameye CourtListener belgesinden ulaşılabiliyor
  • Muneeb, 15 Nisan 2026'da bir suçunu kabul anlaşması imzalayarak iddianamedeki başlıca suçlamaları kabul etti
  • Sohaib ise davayı sonuna kadar götürdü ancak kaybetti
  • 7 Mayıs 2026'da jüri, Sohaib'i bilgisayar dolandırıcılığı komplosu, parola ticareti ve yasaklı kişinin silah bulundurması suçlarından suçlu buldu
  • Sohaib'in cezasının eylülde açıklanması planlanıyor

Muneeb'in hapishane mektupları ve suçunu kabulüne itirazı

  • Muneeb, hapishaneden el yazısıyla bir dilekçe sunarak avukatının etkili olmadığını öne sürdü
  • Sonraki başvurular, Muneeb'in imzaladığı suçunu kabul beyanını bizzat tartışmaya açtı
  • Muneeb, 27 Nisan'da hâkime gönderdiği tek paragraflık mektupta “Tanrı sözlerime rehber olsun” diye yazdı
    • “Hükümetin, duruşma öncesi başvuru süresi içinde delillere itiraz etme kabiliyetimi sınırlarken benden hızlı bir imza beklemesinin hızı ve suçumu kabul etmiş olmam beni rahatsız ediyor” dedi
    • Ayrıca “Kardeşimin masumiyetini destekliyorum” diye ekledi; ancak Sohaib birkaç gün sonra suçlu bulundu
  • 5 Mayıs'ta sunulan bir başka kısa el yazısı mektupta Muneeb, 10. suçlamada masum olduğunu savundu
    • Gerekçesi, “DocuSign hesabına erişimin değerli herhangi bir şey sağlamadığı ve kendisinin de bundan değerli bir şey elde etmediği ya da etmeyi amaçlamadığı” şeklindeydi
    • Bu mektup 96 veritabanının silinmesi konusuna değinmiyor
  • 5 Mayıs'ta sunulan üçüncü mektupta Muneeb, kendi kendini savunmak için pro se ilerleme izni talep etti

İşveren Opexus ve süreç başarısızlığı

  • Mahkeme belgelerinde kardeşleri işe alan şirketin adı açıklanmadı, ancak haberlerde bunun Opexus olduğu belirtildi
  • Opexus, aralık ayında Cyberscoop ile konuşarak bu olayla ilgili tutumunu paylaştı
  • Opexus, geçmiş kontrolü yaptığını ancak “ek durum tespiti” uygulanması gerektiğini kabul etti
  • Şirket, “işten çıkarma sürecinin uygun şekilde yönetilmediğini” kabul etti
  • Şirket, “ikizlerin işe alımından sorumlu yöneticilerin artık Opexus'ta çalışmadığını” söyledi
  • İşe alım, geçmiş kontrolü, işten çıkarma prosedürü ve hesap kapatma süreçleri birleşerek tam kapsamlı bir başarısızlığa dönüştü

İlgili okumalar

1 yorum

 
GN⁺ 10 시간 전
Hacker News görüşleri

  • Opexus’un, “ikizleri işe alan yöneticiler artık Opexus’ta çalışmıyor” demesi, Monty Python’daki klasik “az önce işten çıkarılanları işten çıkaran yöneticiler de işten çıkarıldı” repliğine oldukça yaklaşıyor
    Şakayı bir yana bırakırsak, böyle olaylardan birçok işverenin yalnızca en uç ve insanlık dışı dersleri çıkaracağından endişe ediyorum. Örneğin işten çıkarmaları ve toplu işten çıkarmaları olabildiğince ani yapmak, erişim yetkilerini anında kesmek ya da onlarca yıl önceki esrar bulundurma gibi sabıka kayıtları varsa insanlara asla ikinci bir şans vermemek gibi
    Daha dengeli bir yaklaşımın daha iyi olduğunu düşünüyorum. Hassas sistemlere yönelik tek taraflı erişim yetkileri yalnızca yakın zamanda işten çıkarılanlar için değil genel olarak sınırlandırılmalı; işten çıkarma sırasında özellikle hassas kimlik bilgileri hemen iptal edilmeli ama sıradan giriş ya da e-posta hesaplarının tamamı bir anda silinmemeli. Dolandırıcılıktan hüküm giymiş birini sistem yöneticisi yapmayın ve parolaları lütfen hash’leyin

    • İşten çıkarma bildirimi toplantısı sırasında, kişi henüz durumdan haberdar olmadan erişimi kesmek ve gerekirse parolaları değiştirmek en az 20 yıldır standart prosedür
    • Bu düzeyde erişimi olan biri için, “işten çıkarmaları olabildiğince ani yapıp erişimi hemen kesmemek” beceriksizlik olur. Bu tür görevlerde tamamen standarttır ve böyle olmak zorundadır
      Çalıştığım yerlerde çoğu BT personeli için durum hep buydu. HR ile görüşürken biri masalarını toplar, güvenlik görevlisi de onları dışarı kadar eşlik ederdi
    • Şu anda da zaten böyle yapılıyor
      ABD’de Teams toplantısı sırasında arka planda erişim kesiliyor ve özgeçmişte boşluk, sorun ya da küçük bir pürüz bile varsa bir AI ajanı onu çöpe atıyor
    • Kötü niyetli ajanik yapay zeka çağında bu seviyede erişim vermek ihmalkârlık. Böyle bir şeyin hiç yaşanmamasını sağlayacak mühendislik kontrolleri yoksa, basit bir phishing ya da tedarik zinciri saldırısı bile aynı sonuca ya da daha kötüsüne kolayca yol açabilirdi
    • Çalışan her zaman en son öğrenir. Bu standart prosedürdür

  • Asıl şaşırtıcı olan, bu kişilerin baştan nasıl işe alınmış olduğu. Amerikalı bile görünmüyorlar; nasıl bu kadar hassas sistemlerde çalışabildikleri ayrı bir soru
    Saat 16:58’de “DROP DATABASE dhsproddb” komutuyla Department of Homeland Security veritabanını sildi, 16:59’da ise bir yapay zeka aracına “veritabanını sildikten sonra SQL Server sistem loglarını nasıl silerim?” diye sordu. Daha sonra “Microsoft Windows Server 2012’de tüm event ve application loglarını nasıl silerim?” diye de sormuş
    Bir saat içinde Muneeb, ABD hükümeti bilgileri içeren yaklaşık 96 veritabanını sildi

    • İkisi de Maryland’de doğmuş ve oldukça yetenekli görünüyorlardı. En azından eğitim sistemini manipüle edip geçecek kadar becerikliydiler; gerçekten teknik olarak da yetenekli olmuş olabilirler
      https://www.somdnews.com/archive/news/19-year-old-twins-high...
    • Sonuçta DHS. Yetkin ya da en iyi insanları işe alan bir kurum gibi davranmaya gerek yok. Kravat ve silah taşıyan abartılı şempanzelere daha yakınlar
    • Muhtemelen iş başvurusunda ağır suç kaydını gizlediler ve geçmiş kontrolü yapan şirket sıradan bir nedenle bunu kaçırdı ya da yüklenici firma o kadar beceriksizdi ki hiç doğrulama yapmadı
    • “Amerikalı gibi görünmüyorlar” sonucuna nasıl varıldığını merak ediyorum. Sadece isimlerine bakarak mı?

  • 12 Mart 2025’te Alexandria’daki Sohaib’in evinde arama kararı uygulandı; ajanlar çeşitli teknoloji cihazlarının yanı sıra 7 ateşli silah ve 370 adet .30 kalibre mühimmat buldu. Önceki sabıka kaydı nedeniyle Sohaib’in bunlara sahip olmaması gerekiyordu
    Lütfen bir suç işlerken bir suç daha işlemeyin

    • “Önceki sabıka kaydı nedeniyle Sohaib’in bunlara sahip olmaması gerekiyordu” meselesinin ötesinde, hiç kimsenin kişisel bir cephaneliği olmamalı
    • Arka kapıdan fırlayıp tam eyalet sınırına denk gelmesini ve her şeyi örtbas etmek için silahları kendi evine postalamaya çalışmasını biraz bekledim
    • Aptal suçluların yakalanması yönünde güçlü bir seçilim yanlılığı var
    • Suçları teker teker işlemek gerekir

  • ABD hükümeti temel yazılım sistemleri kurmakta o kadar beceriksiz ki, bunu neredeyse iyi bir şey olarak görmek gerekiyor. Daha önceki binlerce sızmanın bu kadar kolay tespit edilmediğini düşünüyorum

  • Saat 16:58’de “DROP DATABASE dhsproddb” komutuyla Department of Homeland Security veritabanını silmesi çok komik. Atışan iki kardeş, Casey Affleck ve Scott Caan’ın oynadığı Ocean’s filmleri karakterlerini hatırlatıyor
    Bu kişilerin hassas verilere bu kadar yaklaşabilmiş olması şaşırtıcı

    • 16:59’da bir yapay zeka aracına “veritabanını sildikten sonra SQL Server sistem loglarını nasıl silerim?” diye sorup sonra da “Microsoft Windows Server 2012’de tüm event ve application loglarını nasıl silerim?” diye sorması, o kadar çok tehlike işareti içeriyor ki insan ne diyeceğini bilemiyor
    • “Erkek mi?” “Evet, 19.” “Hayatta mı?” “Evet, 18!” “Evel Knievel.”
      Bu ikilide biraz Rosencrantz and Guildenstern havası da var
    • Filmlerde o ikisi hep en iyi kısımlardı. Özellikle birinin Meksika’daki fabrika isyanında diğerine katıldığı sahneyi severdim
    • Videodaki kişiler bunlar olabilir: https://youtu.be/Rx19zOzQeis

  • Nereden başlayacağımı bilmiyorum ama bu iki soytarının DHS’nin operasyonel veritabanlarına erişim sağlayacak bir güvenlik yetkisi almış olması mümkün görünmüyor. O seviyede yetkisi olan başka bir çalışanın kimlik bilgilerini çaldıklarını varsaymak dışında seçenek kalmıyor
    Üstelik vergi kayıtları DHS alanında tutulmaz. Detaylar bilerek bulanıklaştırılmış gibi geliyor; bu mümkün olsa da arka plan anlatısını inandırıcı bulmuyorum

  • Yaklaşık 25 yıl önce çalıştığım şirkette toplu işten çıkarma olmuştu. Bir DBA de diğerleriyle birlikte çıkarıldı ama o zamanlar erişim yetkileri hemen iptal edilmiyor, iş bilgisayarını gün sonuna kadar kullanabiliyordu. Çoğu kişi eşyalarını toplayıp ayrıldı
    Ama işten çıkarılan o DBA kaldı ve sorumlu olduğu veritabanı yedekleme işlerini tamamladıktan sonra eşyalarını toplayıp çıktı. Gerçek hikâye

  • 5 bin parolaya nasıl erişebildiklerini anlayamıyorum. Bunlar düz metin parola olarak mı iletiliyor ya da saklanıyordu? Haberde en anlaşılmaz kısım bu
    Bir diğer belirsiz nokta da, iş akdi bittiği anda hesap erişimini kapatmayan bir şirketin SOC 2’den nasıl geçebildiği

    • Haberden anlaşıldığı kadarıyla parolalar gerçekten düz metin olarak saklanıyormuş gibi görünüyor
      “1 Şubat 2025’te Muneeb Akhter, Sohaib Akhter’den Equal Employment Opportunity Commission Public Portal’a şikâyet gönderen bir kişinin düz metin parolasını istedi. Bu portal, Akhter kardeşlerin işvereni tarafından bakım görüyordu. Sohaib Akhter EEOC veritabanında bir sorgu çalıştırdı ve söz konusu parolayı Muneeb Akhter’e verdi. Bu parola daha sonra ilgili kişinin e-posta hesabına yetkisiz erişim sağlamak için kullanıldı.”
    • Politika ile fiili uygulama farklı olabilir. Bu şirket ve tüm yönetimi gelecekteki tedarik süreçlerinde birilerinin kara listesine girmeli
    • SOC 2’nin ne olduğunu pek anlamamış gibisin
      Birincisi, SOC 2 virüs gibi yayılır; neredeyse hiçbir zaman kendi teknik üstünlüğü nedeniyle benimsenmez. İkincisi, birden fazla seviye vardır. İlk seviye, “güvenliği nasıl yapacağımıza dair bir planı yazılı hale getirdik” düzeyidir
      İkinci seviye, uygulamaya başlamak ya da takibini yapmaya başlamak olabilir. Esas olan ilk seviyedir. Şirketin SOC 2 ekibi, SOC 2 uyumu için aptalca şeyler yapılması gerektiğini söylüyorsa, o aptallık şirket içinden biri tarafından üretilmiştir ve o kişinin işten çıkarılması gerekir. Yine de o aptal plana uymak zorundasınız, çünkü prosedür budur
      Bu durumda “bir çalışan nasıl işten çıkarılır” ve “tek bir büyük dil modelinin bir oturumda 96 üretim veritabanını DROP etmesi nasıl engellenir” sorularının cevabı planda yer alıyor ve hatta uygulanmış da olabilir. Bu durumda şirket hâlâ SOC 2 uyumlu sayılır ve bu da işleyen bir SOC 2 prosedürünün dışarıdan nasıl göründüğüne bir örnek olabilir
    • Her şey offboarding politikasına bağlı. Politika örneğin 72 saat diyorsa, bu politika ihlali olmayabilir
    • Düz metin değilse parolaların tam olarak nasıl saklanmasını istiyorsun? Elbette sonrasında şifrelenmeleri gerekir. 5 bin sayı olarak fazla ve yetkilendirme prosedürü açıkça bozuk, ama bu parola saklama biçiminden ayrı bir konu
      Tek çözüm, doğru erişim ayrımı ve bastion kullanımıdır

  • “İşten çıkarılmış bir çalışanın şirket sistemlerine erişiminin olması bir güvenlik riski” demek doğru değil. 96 veritabanını silebilen bir çalışanın kendisi, çalışıyor olsa bile, zaten güvenlik riskidir
    Elbette bunu gerçekten düzeltmektense, iş akdi biter bitmez her şeyi kesen insanlık dışı yol daha kolay

  • Bizim şirkette de yakın zamanda toplu işten çıkarma oldu. Şirket hâlâ genç olduğu için en az ayrıcalık ilkesi tam uygulanmamıştı ve destek talepleri nedeniyle insanların üretim veritabanlarına erişimi vardı. Yine de kimse kötüye kullanmadı
    İnsanlar ne olacağını biliyordu ama misilleme olmadı. Birincisi, hukuki sorun çıkarmadan bir sonraki işe geçmek istiyorsanız üzerinize yük bindirmemek daha iyidir ve yapılan her şey iz bırakır. İkincisi, neden böyle bir şey yapasınız ki? Neden iş arkadaşlarınızın emeğini sabote edesiniz?