Hermanos gemelos eliminan 96 bases de datos del gobierno minutos después de ser despedidos

 (arstechnica.com)
1 puntos por GN⁺ 10 시간 전 | 1 comentarios | Compartir por WhatsApp
  • Muneeb Akhter y Sohaib Akhter están acusados de eliminar 96 bases de datos del gobierno de EE. UU. usando el acceso de sus cuentas que seguía activo justo después de ser despedidos
  • Ambos se habían declarado culpables anteriormente de fraude electrónico y delitos informáticos, y luego entraron a trabajar en una empresa de Washington, DC que vendía servicios a 45 clientes federales
  • Muneeb reunió 5,400 nombres de usuario y contraseñas obtenidos de la red de la empresa y usó un script de Python para intentar iniciar sesión en DocuSign, aerolíneas, Marriott y otros servicios
  • Cinco minutos después del despido, el 18 de febrero de 2025, la VPN y la cuenta de Windows de Sohaib fueron bloqueadas, pero la cuenta de Muneeb seguía activa y pudo ejecutar DROP DATABASE dhsproddb
  • Tras declararse culpable, Muneeb cuestionó la representación de su defensa y alegó inocencia en algunos cargos, mientras que Sohaib fue declarado culpable de conspiración para cometer fraude informático, tráfico de contraseñas y posesión de armas de fuego

Por qué hay que bloquear las cuentas antes del despido

  • En Estados Unidos, es común desactivar las credenciales digitales de empleados despedidos o recortados antes de notificarles
  • A veces el primer aviso del fin de la relación laboral es que ya no pueden iniciar sesión en los sistemas de la empresa, pero este procedimiento existe porque un empleado despedido que aún conserva acceso a los sistemas puede convertirse en un riesgo de seguridad
  • El caso de los hermanos gemelos Muneeb Akhter y Sohaib Akhter muestra qué daños pueden producirse cuando el acceso sigue activo durante unos minutos después del despido

Antecedentes de los hermanos Akhter y su acceso

  • Muneeb Akhter y Sohaib Akhter tienen actualmente 34 años, y en 2015 ya se habían declarado culpables en Virginia por un esquema relacionado con fraude electrónico y delitos informáticos
  • Muneeb fue condenado a 3 años de prisión y Sohaib a 2 años
  • Tras salir de prisión, Muneeb ingresó en 2023 a una empresa con sede en Washington, DC, y Sohaib se unió a la misma empresa un año después
  • La empresa vendía software y servicios a 45 clientes federales
  • Según el gobierno de EE. UU., el 1 de febrero de 2025 Muneeb le pidió a Sohaib la contraseña en texto plano de una persona que había presentado una queja en el EEOC Public Portal
    • Sohaib ejecutó una consulta en la base de datos de la EEOC y le entregó esa contraseña a Muneeb
    • Esa contraseña se utilizó después para acceder sin autorización a la cuenta de correo electrónico de esa persona

Recolección de credenciales e intentos automatizados de inicio de sesión

  • Muneeb estaba reuniendo 5,400 nombres de usuario y contraseñas obtenidos de datos de la red de la empresa
  • Creó un script personalizado de Python para probar esas credenciales en sitios web comunes
  • marriott_checker.py era una aplicación para intentar iniciar sesión en la cadena hotelera Marriott
  • Muneeb logró iniciar sesión con éxito cientos de veces, incluyendo cuentas de DocuSign y de aerolíneas
  • Si las cuentas de las víctimas tenían millas aéreas, Muneeb incluso llegaba a reservar viajes para sí mismo

La eliminación de bases de datos justo después del despido

  • Al parecer, el empleador de los hermanos se enteró en algún momento de febrero de sus antecedentes penales
  • El 18 de febrero de 2025, los hermanos, que vivían juntos en Virginia, fueron llamados a una reunión de Microsoft Teams y despedidos de inmediato
  • La reunión terminó a las 4:50 p. m., al cierre de la jornada laboral
  • Cinco minutos después, Sohaib intentó acceder a la red de su antiguo empleador, pero su acceso VPN y su cuenta de Windows ya habían sido desactivados
  • La cuenta de Muneeb había quedado fuera del bloqueo, y él accedió de inmediato a bases de datos del gobierno de EE. UU.
  • A las 4:56 p. m., Muneeb ejecutó primero un comando para impedir que otros usuarios se conectaran o hicieran cambios en una base de datos, y luego ejecutó el comando para eliminarla
  • A las 4:58 p. m., eliminó una base de datos del Department of Homeland Security con el comando DROP DATABASE dhsproddb
  • A las 4:59 p. m., le preguntó a una herramienta de IA: “cómo borrar los logs del sistema de un servidor SQL después de eliminar una base de datos”
  • Después también preguntó: “cómo borrar todos los eventos y logs de aplicaciones en Microsoft Windows Server 2012”
  • Durante una hora, Muneeb eliminó unas 96 bases de datos que contenían información del gobierno de EE. UU.
  • Descargó 1,805 archivos propiedad de la EEOC y los guardó en una memoria USB, y también obtuvo información fiscal federal de al menos 450 personas

Conversaciones entre los hermanos e intentos de encubrimiento

  • Mientras se desarrollaba la eliminación de datos, ambos siguieron hablando, pero el gobierno no aclaró si esas conversaciones fueron por mensaje de texto, mensajería instantánea o en persona
  • Sohaib, al ver lo que hacía Muneeb, dijo: “Veo que estás limpiando sus respaldos de bases de datos”
  • A medida que aumentaba la cantidad de datos eliminados, Sohaib dijo: “Bueno, si hay una negación plausible”
  • Muneeb respondió: “Pueden restaurarlo desde el respaldo de ayer”, y Sohaib contestó: “Sí, podrían”
  • Sohaib sugirió: “¿También borramos el sistema de archivos?”, y Muneeb respondió: “Buena idea
  • Sohaib dijo: “Debería haber habido un script asesino. Algo como una amenaza para sacarles dinero—”, y Muneeb respondió: “No, no hay que hacer eso, eso es evidencia de culpabilidad”
  • Después de borrar las bases de datos y los logs de eventos, los hermanos reinstalaron el sistema operativo de la laptop de la empresa con ayuda de un conspirador cuyo nombre no fue revelado

Allanamiento, acusación y resultado del juicio

  • El allanamiento real de los investigadores federales ocurrió tres semanas después del despido y de la eliminación
  • El 12 de marzo de 2025 se ejecutó una orden de cateo en la casa de Sohaib en Alexandria
  • Los investigadores incautaron varios equipos tecnológicos y también encontraron 7 armas de fuego y 370 cartuchos calibre .30
  • Debido a sus antecedentes penales, Sohaib no debía poseer esas armas ni esa munición
  • Los hermanos permanecieron en libertad durante 9 meses más mientras avanzaba la investigación, pero fueron arrestados el 3 de diciembre y acusados de varios delitos
  • La acusación puede consultarse en este documento de CourtListener
  • Muneeb firmó un acuerdo de culpabilidad el 15 de abril de 2026, en el que admitió los cargos principales de la acusación
  • Sohaib fue a juicio, pero perdió
  • El 7 de mayo de 2026, el jurado declaró culpable a Sohaib de conspiración para cometer fraude informático, tráfico de contraseñas y posesión de armas de fuego por una persona legalmente impedida
  • La sentencia de Sohaib está prevista para septiembre

Las cartas de Muneeb desde prisión y sus objeciones a la declaración de culpabilidad

  • Muneeb presentó una petición manuscrita desde la cárcel alegando que su defensa no fue efectiva
  • Documentos presentados después cuestionan la propia declaración de culpabilidad firmada por Muneeb
  • En una carta de un solo párrafo enviada al juez el 27 de abril, Muneeb escribió: “Que Dios guíe mis palabras”
    • Escribió que “se siente incómodo con la velocidad con la que el gobierno esperaba una firma rápida y con mi declaración de culpabilidad, mientras limitaba mi capacidad para impugnar la evidencia dentro del plazo de las mociones previas al juicio”
    • También añadió: “Yo sostengo la inocencia de mi hermano”, aunque Sohaib fue declarado culpable pocos días después
  • Otra breve carta manuscrita presentada el 5 de mayo afirma que Muneeb es inocente del cargo 10
    • La razón es que “el acceso a la cuenta de DocuSign no otorgaba nada de valor, y él no obtuvo nada de valor de ello ni tuvo intención de obtenerlo”
    • La carta no aborda la eliminación de las 96 bases de datos
  • En una tercera carta presentada el 5 de mayo, Muneeb pidió autorización para representarse a sí mismo en un proceso pro se

El empleador Opexus y la falla de procedimiento

  • En los documentos judiciales no se reveló el nombre de la empresa que contrató a los hermanos, pero en los reportes se la identificó como Opexus
  • Opexus dio su postura sobre el caso en diciembre a Cyberscoop
  • Opexus dijo que sí realizó una verificación de antecedentes, pero reconoció que debió aplicar una “debida diligencia adicional
  • La empresa también reconoció que “el despido no se manejó de la manera adecuada”
  • La empresa indicó que “los responsables de la contratación de los gemelos ya no trabajan en Opexus”
  • La contratación, la verificación de antecedentes, el despido y el bloqueo de cuentas se combinaron en una falla total del proceso

Lecturas relacionadas

1 comentarios

 
GN⁺ 10 시간 전
Comentarios en Hacker News

  • La parte donde Opexus dijo que “los responsables de contratar a los gemelos ya no trabajan en Opexus” se acerca bastante a la clásica línea de Monty Python de “también despidieron a los responsables de despedir a los que acaban de ser despedidos”
    Bromas aparte, me preocupa que muchos empleadores saquen de incidentes así solo las lecciones más extremas e inhumanas. Por ejemplo, hacer los despidos y recortes de la forma más repentina posible y cortar el acceso de inmediato, o no darle jamás una segunda oportunidad a nadie con antecedentes penales, incluso por algo como posesión de marihuana de hace décadas
    Me parece mejor un enfoque más equilibrado. El acceso unilateral a sistemas sensibles debería estar restringido no solo para quienes acaban de ser despedidos sino en general, y al despedir a alguien habría que revocar de inmediato las credenciales especialmente sensibles, pero no borrar por completo todos los inicios de sesión normales o las cuentas de correo. No contrates a una persona condenada por fraude electrónico como administrador de sistemas, y por favor hasheen las contraseñas

    • Durante la reunión en la que se notifica el despido, cortar el acceso antes de que la persona se entere y cambiar contraseñas si hace falta ha sido, como mínimo, procedimiento estándar durante los últimos 20 años
    • Si alguien tiene ese nivel de acceso, no “hacer el despido lo más repentino posible y cortar el acceso de inmediato” sería incompetencia. En este tipo de puestos eso es totalmente estándar y así tiene que ser
      En los lugares donde he trabajado, eso siempre aplicó para la mayoría del personal de IT. Mientras hablaban con HR, alguien recogía sus cosas del escritorio y seguridad los acompañaba hasta la salida
    • De hecho, ya se hace así
      En EE. UU., te cortan el acceso por detrás mientras estás en una reunión de Teams, y si tu CV tiene huecos, problemas o aunque sea una pequeña mancha, algún agente de IA lo tira a la basura
    • En la era de la IA agéntica maliciosa, este nivel de acceso es una negligencia. Si no había controles de ingeniería para impedir por completo que esto ocurriera, entonces con simple phishing o un ataque a la cadena de suministro fácilmente podría haber pasado lo mismo o algo peor
    • El empleado siempre es el último en enterarse. Es el procedimiento estándar

  • Me sorprende cómo contrataron a estas personas desde el principio. Ni siquiera parecen estadounidenses, así que me pregunto cómo pudieron trabajar en sistemas sensibles
    A las 4:58 p. m. borraron una base de datos del Department of Homeland Security con el comando “DROP DATABASE dhsproddb”, y a las 4:59 p. m. le preguntaron a una herramienta de IA: “¿cómo borro los logs del sistema SQL Server después de borrar una base de datos?”. Más tarde también preguntaron “¿cómo borro todos los event logs y application logs de Microsoft Windows Server 2012?”
    En menos de una hora, Muneeb borró unas 96 bases de datos con información del gobierno de EE. UU.

    • Ambos nacieron en Maryland y al parecer eran bastante capaces. Por lo menos eran hábiles para hacer trampa y pasar los estudios, y puede que también tuvieran habilidades técnicas reales
      https://www.somdnews.com/archive/news/19-year-old-twins-high...
    • Es DHS. Tampoco hay que fingir que es una institución conocida por contratar gente competente o a los mejores talentos. Se parecen más a chimpancés exagerados con corbata y pistola
    • Supongo que ocultaron una condena por delito grave en la solicitud de empleo y que, por alguna razón común y corriente, la empresa que hacía la verificación de antecedentes no los filtró, o que el contratista era tan incompetente que ni siquiera lo revisó
    • Me intriga cómo llegaron a la conclusión de que “no parecen estadounidenses”. ¿Solo por los nombres?

  • El 12 de marzo de 2025 se ejecutó una orden de cateo en la casa de Sohaib en Alexandria, y los agentes encontraron siete armas de fuego y 370 cartuchos calibre .30, además de varios equipos tecnológicos. Por sus antecedentes penales previos, Sohaib no debería haber tenido nada de eso
    Por favor, no cometas otro delito mientras estás cometiendo un delito

    • Más que “por sus antecedentes penales previos, Sohaib no debería haber tenido eso”, nadie debería tener un arsenal privado
    • Salió corriendo por la puerta trasera, justo había una frontera estatal ahí mismo, y yo medio esperaba la escena de que se enviara las armas por correo a su propia casa para encubrirlo todo
    • Hay un fuerte sesgo de selección hacia que atrapen a los criminales tontos
    • Hay que cometer los delitos de uno en uno

  • El gobierno de EE. UU. es tan incompetente incluso para construir software básico que casi no queda más que ver esto como algo positivo. Apostaría a que las miles de intrusiones anteriores no se detectaron tan fácilmente

  • Me da muchísima risa la parte de que a las 4:58 p. m. volaron la base de datos del Department of Homeland Security con el comando “DROP DATABASE dhsproddb”. Me recuerdan a esos personajes de las películas de Ocean's interpretados por Casey Affleck y Scott Caan, dos hermanos que se la pasan peleando
    Lo sorprendente es que hayan estado tan cerca de datos sensibles

    • Que a las 4:59 p. m. le preguntaran a una herramienta de IA “¿cómo borro los logs del sistema SQL Server después de borrar una base de datos?” y luego “¿cómo borro todos los event logs y application logs de Microsoft Windows Server 2012?” tiene tantas señales de alerta que uno se queda sin palabras
    • “¿Es hombre?” “Sí, 19.” “¿Está vivo?” “¡Sí, 18!” “Evel Knievel.”
      Estos dos también dan un poco vibra de Rosencrantz y Guildenstern
    • En la película, esos dos siempre eran de lo mejor. En especial me gustó la escena en la que uno se une al otro durante el motín en la fábrica de México
    • Creo que las personas del video son ellos: https://youtu.be/Rx19zOzQeis

  • No sé ni por dónde empezar, pero no hay forma de que estos dos payasos hubieran recibido una autorización de seguridad para acceder a las bases de datos operativas de DHS. Solo queda asumir que robaron las credenciales de otro empleado que sí tenía ese nivel de autorización
    Además, los registros fiscales no se almacenan en el dominio de DHS. Siento que la historia fue depurada para ocultar detalles, y puede ser entendible, pero el contexto de fondo cuesta creerlo

  • Hace como 25 años hubo recortes en la empresa donde yo trabajaba. Despidieron a un DBA junto con otras personas, y en esa época no les retiraban el acceso de inmediato ni les quitaban la computadora de trabajo hasta el final del día. La mayoría empacó sus cosas y se fue
    Pero ese DBA despedido se quedó, terminó las tareas de respaldo de las bases de datos que tenía a cargo y, cuando acabó, empacó y se fue. Historia real

  • No entiendo cómo tuvieron acceso a 5 mil contraseñas. ¿Se estaban transmitiendo o almacenando en texto plano? Esa es la parte más difícil de entender del artículo
    Otra cosa que no queda clara es cómo puedes pasar SOC 2 si no cortas el acceso a las cuentas en cuanto termina la relación laboral

    • Por lo que dice el artículo, sí suena a que las contraseñas realmente estaban almacenadas en texto plano
      “El 1 de febrero de 2025, Muneeb Akhter le pidió a Sohaib Akhter las contraseñas en texto plano de personas que habían presentado quejas en el Public Portal de la Equal Employment Opportunity Commission, un portal mantenido por el empleador de los hermanos Akhter. Sohaib Akhter ejecutó una consulta en la base de datos de la EEOC y luego le proporcionó esas contraseñas a Muneeb Akhter. Después, esas contraseñas se usaron para acceder sin autorización a la cuenta de correo electrónico de esa persona.”
    • La política y la ejecución real pueden ser cosas distintas. Esta empresa y toda su dirección deberían terminar en la lista negra de alguien para futuras contrataciones públicas
    • Creo que no entiendes muy bien qué es SOC 2
      Primero, SOC 2 se propaga como un virus y casi nunca se adopta por méritos técnicos propios. Segundo, hay varios niveles. El primer nivel puede ser tan solo “escribimos en un documento cómo planeamos hacer seguridad”
      El segundo nivel puede ser empezar a implementar o al menos empezar a dar seguimiento. El punto clave es el primer nivel. Si el departamento de SOC 2 de una empresa te dice que hay que hacer alguna tontería para cumplir con SOC 2, esa tontería la inventó alguien dentro de la empresa y deberían despedirlo. Aun así, hay que seguir ese plan tonto, porque ese es el procedimiento
      En este caso, el plan podría haber incluido una respuesta a “cómo despedir a la gente” y “cómo impedir que un solo modelo de lenguaje grande haga DROP a 96 bases de datos operativas en una sola sesión”. Y ese plan incluso pudo haberse implementado. Entonces la empresa seguiría estando en cumplimiento SOC 2, y esta podría ser perfectamente la apariencia de un proceso SOC 2 funcionando como fue diseñado para verse
    • Depende de la política de offboarding. Si la política dice 72 horas o algo así, entonces puede que no haya incumplimiento de la política
    • Si no es en texto plano, entonces ¿cómo exactamente quieres que se almacenen las contraseñas? Claro, luego hay que cifrarlas. 5 mil son muchas y sí, el proceso de autorización estaba roto, pero eso es independiente de cómo se almacenan las contraseñas
      La única solución es una separación de accesos correcta y un bastión

  • No es que “un empleado despedido con acceso a sistemas de la empresa sea un riesgo de seguridad”. Un empleado que puede borrar 96 bases de datos ya es, incluso si sigue contratado, un riesgo de seguridad
    Claro, es más fácil tomar la ruta inhumana de cortar todo al terminar el empleo que arreglar bien el problema

  • En nuestra empresa también hubo recortes recientemente. Como todavía es una empresa joven, no se aplicaba el principio de mínimo privilegio y la gente podía acceder a la base de datos de producción por temas de soporte. Aun así, nadie hizo nada malo
    La gente sabía lo que venía, pero no hubo represalias. Primero, si quieres pasar al siguiente trabajo sin problemas legales, conviene no generarte una carga extra, y además las acciones son rastreables. Segundo, ¿para qué? ¿Por qué arruinar el trabajo de tus colegas?