Af Eskil Sørensen, 16/05/22
En tidligere databaseadministrator for en kinesisk ejendomsmæglergigant er blevet idømt syv års fængsel for at logge ind på virksomhedens systemer og slette virksomhedens data. Det skriver Bleeping Computer.
Administratoren udførte sin udåd i juni 2018, da han brugte sine administrative privilegier og "root"-konto til at få adgang til virksomhedens økonomisystem og slette alle lagrede data fra to databaseservere og to applikationsservere. Resultatet af dette var ’øjeblikkelig lammelse af store dele af ejendomsmæglerens aktiviteter’ ligesom titusindvis af virksomhedens ansatte ikke fik løn i en længere periode. Indsatsen ift. gendannelse kostede 30.000 dollar, men de indirekte konsekvenser var – som Bleeping Computer skriver det – langt mere skadelige.
Ejendomsmæglervirksomheden, kaldet Lianjia, er virkelig en gigant. Den driver tusindvis af kontorer, beskæftiger over 120.000 mæglere, ejer 51 datterselskaber, og dets markedsværdi anslås til at være seks milliarder dollars.
Insidertrussel fra en uvederhæftig medarbejder
Angiveligt rettedes mistanken mod medarbejderen, da han afviste at udlevere sin adgangskode til sin bærebare pc til efterforskerne under henvisning til, at den kun indeholde private data. Selv om data på computeren ikke kunne anvendes som bevis, så blev spørgsmålet om udlevering af pc’en en kontrol for at måle svaret fra de fem medarbejdere, der havde adgang til systemet. Da han afviste, vidste man, hvor man skulle rette sin mistanke.
Det afgørende bevis blev fundet via adgangslogfiler fra serverne og sporing af aktiviteten til specifikke interne IP'er og MAC-adresser. Efterforskerne hentede endda WiFi-forbindelseslogfiler og tidsstempler hvilket blev korrelereret med CCTV-optagelser.
Den pågældende insider er et eksempel på en uvederhæftig medarbejder – en af tre typer inden for insidertruslen, som vi beskriver i DKCERTs trusselsvurdering. De to andre har hhv. betegnelsen ubevidst og uagtsom medarbejder, der forårsager kompromittering af informationssikkerheden enten fordi de ikke kender sikkerhedsreglerne eller fordi de ikke tager dem alvorligt. Trusselsvurderingen er netop offentliggjort i DKCERTs trendrapport 2022.
Utilfreds
Bleeping Computers omtale af sagen er interessant, fordi den pågældende medarbejder flere gange havde informeret sin arbejdsgiver om sikkerhedshuller i det finansielle system, og endda sendt e-mails til andre administratorer for at rejse bekymringerne. Han blev dog stort set ignoreret, da lederne af hans afdeling aldrig godkendte det sikkerhedsprojekt, han foreslog at køre.
Dette blev bekræftet af vidneudsagn fra direktøren for etik i Lianjia, som fortalte i retten, at medarbejderen ikke følte at hans forslag blev værdsat og ofte indledte diskussioner med sine tilsynsførende. For at bevise sin påstand for den manglende sikkerhed, kompromitterede han så tilsyneladende systemet selv. Og det kostede syv år i fængsel.
DKCERT har tidligere omtalt en sag fra New York, hvor en afskediget medarbejder slettede data. Angiveligt i vrede over at være blevet afskediget.
Links:
https://cert.dk/sites/default/files/uploads/PDF/DKCERT_Trendrapport_2022_END.pdf
https://cert.dk/da/news/2021-09-06/Insidertrussel-Afskediget-medarbejder-slettede-21-GB-data