Saudara kembar menghapus 96 basis data pemerintah beberapa menit setelah dipecat

 (arstechnica.com)
1 poin oleh GN⁺ 11 jam lalu | 1 komentar | Bagikan ke WhatsApp
  • Muneeb Akhter dan Sohaib Akhter didakwa menghapus 96 basis data pemerintah AS dengan memanfaatkan akses akun yang masih tersisa tepat setelah pemecatan mereka
  • Keduanya sebelumnya mengaku bersalah atas penipuan melalui kawat dan kejahatan komputer, lalu bergabung dengan perusahaan di Washington, DC yang menjual layanan kepada 45 klien federal
  • Muneeb mengumpulkan 5.400 nama pengguna dan kata sandi yang diambil dari jaringan perusahaan, lalu memakai skrip Python untuk mencoba login ke DocuSign, maskapai penerbangan, Marriott, dan lainnya
  • Lima menit setelah dipecat pada 18 Februari 2025, akun VPN dan Windows milik Sohaib sudah diblokir, tetapi akun Muneeb masih aktif sehingga ia bisa menjalankan DROP DATABASE dhsproddb
  • Setelah mengaku bersalah, Muneeb kemudian mempersoalkan masalah pengacara dan menyatakan dirinya tidak bersalah atas sebagian dakwaan, sementara Sohaib divonis bersalah atas konspirasi penipuan komputer, perdagangan kata sandi, dan kepemilikan senjata api

Mengapa akun perlu diblokir sebelum pemecatan

  • Di AS, kredensial digital milik karyawan yang akan dipecat atau terkena PHK sering dinonaktifkan sebelum pemberitahuan diberikan
  • Meski kegagalan login ke sistem perusahaan kadang menjadi tanda pertama bahwa hubungan kerja telah berakhir, prosedur ini diterapkan karena mantan karyawan yang masih memiliki akses sistem dapat menjadi risiko keamanan
  • Kasus saudara kembar Muneeb Akhter dan Sohaib Akhter menunjukkan kerusakan seperti apa yang bisa terjadi ketika akses masih tersisa selama beberapa menit setelah pemecatan

Latar belakang dan akses saudara Akhter

  • Muneeb Akhter dan Sohaib Akhter kini berusia 34 tahun, dan pada 2015 di Virginia pernah mengaku bersalah dalam skema yang melibatkan penipuan melalui kawat dan kejahatan terkait komputer
  • Muneeb dijatuhi hukuman 3 tahun penjara, Sohaib 2 tahun penjara
  • Setelah bebas, Muneeb bergabung dengan perusahaan yang berbasis di Washington, DC pada 2023, dan Sohaib menyusul ke perusahaan yang sama setahun kemudian
  • Perusahaan ini menjual perangkat lunak dan layanan kepada 45 klien federal
  • Menurut pemerintah AS, pada 1 Februari 2025 Muneeb meminta Sohaib memberikan kata sandi plaintext milik seseorang yang mengajukan pengaduan ke EEOC Public Portal
    • Sohaib menjalankan kueri pada basis data EEOC dan memberikan kata sandi tersebut kepada Muneeb
    • Kata sandi itu kemudian digunakan untuk mengakses akun email orang tersebut tanpa izin

Pengumpulan kredensial dan percobaan login otomatis

  • Muneeb mengumpulkan 5.400 nama pengguna dan kata sandi yang diambil dari data jaringan perusahaan
  • Ia membuat skrip Python khusus untuk menguji kredensial login itu di situs web umum
  • marriott_checker.py adalah aplikasi untuk mencoba login ke jaringan hotel Marriott
  • Muneeb berhasil login ratusan kali, termasuk ke akun DocuSign dan akun maskapai
  • Jika akun korban memiliki miles penerbangan, Muneeb kadang menggunakannya untuk memesan perjalanannya sendiri

Penghapusan basis data tepat setelah pemecatan

  • Pemberi kerja saudara tersebut tampaknya mengetahui riwayat kriminal mereka pada suatu waktu di bulan Februari
  • Pada 18 Februari 2025, kedua saudara yang tinggal bersama di Virginia dipanggil ke rapat Microsoft Teams dan langsung dipecat
  • Rapat itu berakhir pada pukul 16:50, saat akhir jam kerja
  • Lima menit kemudian, Sohaib mencoba mengakses jaringan mantan perusahaannya, tetapi akses VPN dan akun Windows miliknya sudah dihentikan
  • Akun Muneeb terlewat dari daftar pemblokiran, dan ia segera mengakses basis data pemerintah AS
  • Pada pukul 16:56, Muneeb menjalankan perintah yang mencegah pengguna lain terhubung ke atau mengubah basis data, lalu menjalankan perintah penghapusan basis data
  • Pada pukul 16:58, ia menghapus basis data Department of Homeland Security dengan perintah DROP DATABASE dhsproddb
  • Pada pukul 16:59, ia bertanya ke alat AI, “bagaimana cara menghapus log sistem SQL server setelah menghapus basis data”
  • Setelah itu, ia juga bertanya, “bagaimana cara menghapus semua event dan application log di Microsoft Windows Server 2012”
  • Dalam waktu satu jam, Muneeb menghapus sekitar 96 basis data yang berisi informasi pemerintah AS
  • Ia mengunduh 1.805 file milik EEOC dan menyimpannya ke drive USB, serta mengambil informasi pajak federal milik sedikitnya 450 orang

Percakapan antarsaudara dan upaya menutupi jejak

  • Saat penghapusan data berlangsung, keduanya terus berkomunikasi, tetapi pemerintah tidak menjelaskan secara jelas apakah percakapan itu melalui SMS, pesan instan, atau tatap muka
  • Sohaib, sambil melihat apa yang dilakukan Muneeb, berkata, “Saya bisa lihat kamu sedang membersihkan cadangan basis data mereka”
  • Ketika target penghapusan bertambah, Sohaib berkata, “Bagus, asalkan ada deniability yang masuk akal”
  • Muneeb berkata, “Mereka bisa memulihkan dari cadangan kemarin,” dan Sohaib menjawab, “Ya, bisa”
  • Sohaib menyarankan, “Hapus filesystem juga?” dan Muneeb menjawab, “Ide bagus
  • Sohaib berkata, “Harusnya ada kill script. Sesuatu seperti ancaman untuk memeras uang—” dan Muneeb menjawab, “Tidak, jangan lakukan itu, itu bukti kesalahan”
  • Setelah menghapus basis data dan event log, kedua saudara itu, dengan bantuan seorang konspirator yang namanya tidak diungkap, memasang ulang sistem operasi laptop perusahaan

Penggeledahan, dakwaan, dan hasil persidangan

  • Penggeledahan nyata oleh penyidik federal baru dilakukan 3 minggu setelah pemecatan dan penghapusan itu
  • Pada 12 Maret 2025, surat perintah penggeledahan dilaksanakan di rumah Sohaib di Alexandria
  • Penyidik menyita berbagai perangkat teknologi dan juga menemukan 7 senjata api serta 370 butir amunisi kaliber .30
  • Karena catatan kriminal sebelumnya, Sohaib seharusnya tidak boleh memiliki senjata api dan amunisi tersebut
  • Kedua saudara itu tetap bebas selama 9 bulan lagi saat penyelidikan berjalan, tetapi ditangkap pada 3 Desember dan didakwa atas berbagai tindak pidana
  • Dakwaan dapat dilihat dalam dokumen CourtListener
  • Muneeb menandatangani kesepakatan pengakuan bersalah pada 15 April 2026, mengakui dakwaan utama dalam surat dakwaan
  • Sohaib melanjutkan sampai persidangan, tetapi kalah
  • Pada 7 Mei 2026, juri memvonis Sohaib bersalah atas konspirasi penipuan komputer, perdagangan kata sandi, dan kepemilikan senjata api oleh orang yang dilarang memilikinya
  • Vonis Sohaib dijadwalkan pada September

Surat dari penjara Muneeb dan keberatan atas pengakuan bersalah

  • Muneeb mengajukan petisi tulisan tangan dari penjara dan mengklaim bahwa pengacaranya tidak efektif
  • Dokumen yang diajukan setelah itu juga mempertanyakan pengakuan bersalah yang telah ia tandatangani
  • Dalam surat satu paragraf kepada hakim pada 27 April, Muneeb menulis, “Semoga Tuhan membimbing kata-kata saya”
    • Ia menulis bahwa ia merasa tidak nyaman dengan kecepatan pemerintah yang mengharapkan tanda tangan cepat dan dengan pengakuan bersalahnya, sementara pemerintah membatasi kemampuannya untuk menantang bukti selama tenggat pengajuan pra-persidangan
    • Ia menambahkan, “Saya mendukung ketidakbersalahan saudara saya,” tetapi beberapa hari kemudian Sohaib tetap divonis bersalah
  • Surat tulisan tangan singkat lainnya yang diajukan pada 5 Mei menyatakan bahwa Muneeb tidak bersalah atas dakwaan ke-10
    • Alasannya, “akses ke akun DocuSign tidak memberikan sesuatu yang bernilai, dan dia tidak memperoleh ataupun bermaksud memperoleh sesuatu yang bernilai darinya”
    • Surat itu tidak membahas penghapusan 96 basis data
  • Dalam surat ketiga yang diajukan pada 5 Mei, Muneeb meminta izin untuk mewakili dirinya sendiri secara pro se

Pemberi kerja Opexus dan kegagalan prosedur

  • Nama perusahaan yang mempekerjakan kedua saudara itu tidak diungkap dalam dokumen pengadilan, tetapi dalam pemberitaan diidentifikasi sebagai Opexus
  • Opexus memberikan pernyataan terkait kasus ini kepada Cyberscoop pada bulan Desember
  • Opexus mengatakan mereka memang melakukan pemeriksaan latar belakang, tetapi mengakui bahwa “uji tuntas tambahan” seharusnya diterapkan
  • Perusahaan juga mengakui bahwa “pemecatan tidak ditangani dengan cara yang tepat”
  • Perusahaan menyatakan bahwa “pihak yang bertanggung jawab atas perekrutan si kembar tidak lagi bekerja di Opexus”
  • Proses perekrutan, pemeriksaan latar belakang, pemecatan, dan pemblokiran akun saling berkaitan hingga menjadi kegagalan menyeluruh

Bacaan terkait

1 komentar

 
GN⁺ 11 jam lalu
Komentar Hacker News

  • Bagian ketika Opexus mengatakan bahwa “para manajer yang bertanggung jawab merekrut si kembar itu sudah tidak lagi bekerja di Opexus” terasa seperti versi nyata dari kalimat klasik Monty Python: “orang-orang yang bertanggung jawab memecat orang yang baru saja dipecat itu juga sudah dipecat”
    Di luar bercandanya, saya khawatir banyak pemberi kerja justru akan mengambil pelajaran yang paling ekstrem dan tidak manusiawi dari kejadian seperti ini. Misalnya, membuat pemecatan dan PHK sedadak mungkin lalu langsung memutus semua akses, atau sama sekali tidak memberi kesempatan kedua kepada siapa pun yang punya catatan kriminal, bahkan untuk kasus lama seperti kepemilikan ganja puluhan tahun lalu
    Menurut saya pendekatan yang lebih seimbang lebih baik. Hak akses sepihak ke sistem sensitif seharusnya dibatasi secara umum, bukan hanya untuk orang yang baru dipecat, dan saat pemecatan khususnya kredensial yang sangat sensitif memang harus segera dicabut, tetapi jangan sampai semua login biasa atau akun email ikut dihapus. Jangan rekrut terpidana penipuan transfer kawat sebagai admin sistem, dan tolong hash kata sandi

    • Saat rapat pemberitahuan pemecatan berlangsung, memutus akses sebelum orangnya tahu dan mengganti kata sandi jika perlu sudah menjadi prosedur standar selama setidaknya 20 tahun
    • Kalau seseorang punya tingkat akses seperti itu, justru tidak kompeten kalau tidak “membuat pemecatan sedadak mungkin dan langsung memutus akses”. Untuk peran seperti itu, ini benar-benar standar dan memang harus begitu
      Di tempat-tempat saya bekerja, itu hampir selalu dilakukan untuk staf TI. Saat mereka sedang bicara dengan HR, ada orang lain yang membereskan meja mereka, dan petugas keamanan mengantar mereka keluar
    • Sekarang pun sudah memang seperti itu
      Di AS, akses diputus diam-diam saat rapat Teams berlangsung, dan kalau ada celah, masalah, atau cacat kecil apa pun di CV, suatu agen AI akan langsung melemparkannya ke tempat sampah
    • Di era AI berbentuk agen yang berbahaya, tingkat akses seperti ini adalah kelalaian. Kalau tidak ada kontrol rekayasa yang mencegah hal seperti ini sejak awal, maka phishing biasa atau serangan rantai pasok pun bisa dengan mudah menghasilkan akibat yang sama atau lebih buruk
    • Karyawan memang selalu jadi orang terakhir yang tahu. Ini prosedur standar

  • Saya heran bagaimana orang seperti ini bisa direkrut sejak awal. Mereka bahkan tampaknya bukan orang Amerika, jadi saya bingung bagaimana mereka bisa bekerja di sistem yang sensitif
    Pada pukul 4:58 sore dia menghapus basis data Department of Homeland Security dengan perintah “DROP DATABASE dhsproddb”, lalu pada 4:59 bertanya ke alat AI, “bagaimana cara menghapus log sistem SQL Server setelah menghapus database?” Belakangan dia juga bertanya, “bagaimana cara menghapus semua event dan application log di Microsoft Windows Server 2012?”
    Dalam waktu kurang dari satu jam, Muneeb menghapus sekitar 96 basis data berisi informasi pemerintah AS

    • Keduanya lahir di Maryland, dan tampaknya cukup kompeten. Setidaknya mereka pandai memalsukan kemampuan akademik, dan mungkin juga benar-benar punya kemampuan teknis
      https://www.somdnews.com/archive/news/19-year-old-twins-high...
    • Ini DHS. Tidak perlu berpura-pura seolah itu lembaga yang dikenal merekrut orang paling kompeten atau terbaik. Lebih mirip simpanse berlebihan yang memakai dasi dan membawa senjata
    • Mereka kemungkinan menyembunyikan catatan kejahatan berat di lamaran kerja, lalu perusahaan pemeriksa latar belakang gagal menangkapnya karena alasan biasa, atau kontraktornya terlalu tidak kompeten sampai bahkan tidak memeriksanya sama sekali
    • Saya penasaran bagaimana Anda bisa menyimpulkan “mereka tampaknya bukan orang Amerika”. Apakah hanya dari namanya?

  • Pada 12 Maret 2025, surat perintah penggeledahan dilaksanakan di rumah Sohaib di Alexandria, dan para agen menemukan berbagai perangkat teknis serta 7 senjata api dan 370 butir amunisi kaliber .30. Berdasarkan riwayat kriminal sebelumnya, Sohaib seharusnya tidak boleh memiliki semua itu
    Tolong, jangan melakukan kejahatan lain saat sedang melakukan kejahatan

    • Bukan cuma “berdasarkan riwayat kriminal sebelumnya, Sohaib seharusnya tidak boleh memiliki semua itu”; seharusnya tak seorang pun punya gudang senjata pribadi
    • Dia lari lewat pintu belakang, dan kebetulan ada perbatasan negara bagian di sana, jadi saya sempat berharap ada adegan dia mengirim semua senjatanya ke rumahnya sendiri lewat pos untuk menutupi semuanya
    • Ada bias seleksi yang kuat ke arah penjahat bodoh yang tertangkap
    • Kejahatan sebaiknya dilakukan satu per satu saja

  • Pemerintah AS terlalu tidak becus bahkan untuk membangun perangkat lunak dasar, jadi saya hampir terpaksa melihat ini sebagai hal baik. Saya yakin ribuan intrusi sebelumnya tidak akan terdeteksi semudah ini

  • Bagian bahwa pada pukul 4:58 sore dia menghancurkan basis data Department of Homeland Security dengan perintah “DROP DATABASE dhsproddb” itu sangat lucu. Dua saudara yang terus bertengkar ini mengingatkan saya pada karakter di film Ocean’s yang diperankan Casey Affleck dan Scott Caan
    Yang mengejutkan adalah betapa dekatnya mereka bisa sampai ke data sensitif seperti itu

    • Fakta bahwa pada pukul 4:59 dia bertanya ke alat AI, “bagaimana cara menghapus log sistem SQL Server setelah menghapus database?”, lalu kemudian “bagaimana cara menghapus semua event dan application log di Microsoft Windows Server 2012?” itu penuh tanda bahaya sampai saya kehabisan kata-kata
    • “Laki-laki?” “Ya, 19.” “Masih hidup?” “Ya, 18!” “Evel Knievel.”
      Mereka juga terasa agak seperti Rosencrantz and Guildenstern
    • Dalam film, mereka selalu jadi bagian terbaik. Saya terutama suka saat salah satunya bergabung dengan yang lain di tengah kerusuhan pabrik di Meksiko
    • Sepertinya ini video mereka: https://youtu.be/Rx19zOzQeis

  • Saya bahkan tidak tahu harus mulai dari mana, tetapi dua badut ini jelas tidak mungkin punya izin keamanan untuk mengakses basis data operasional DHS. Satu-satunya kesimpulan adalah mereka mencuri kredensial karyawan lain yang memang punya tingkat izin itu
    Lagi pula, catatan pajak tidak disimpan di domain DHS. Ceritanya terasa sudah dipoles untuk menyamarkan detail, dan itu mungkin saja, tetapi penjelasan latarnya sulit dipercaya

  • Sekitar 25 tahun lalu, perusahaan tempat saya bekerja melakukan PHK. Seorang DBA juga dipecat bersama yang lain, dan pada masa itu akses tidak langsung dicabut serta komputer kerjanya masih bisa dipakai sampai akhir hari. Kebanyakan orang langsung berkemas dan pergi
    Namun DBA yang dipecat itu tetap tinggal dan menyelesaikan pekerjaan pencadangan basis data yang menjadi tanggung jawabnya, lalu setelah selesai dia berkemas dan pergi. Kisah nyata

  • Saya tidak paham bagaimana mereka bisa mengakses 5.000 kata sandi. Apakah kata sandi itu dikirim atau disimpan dalam teks biasa? Itu bagian artikel yang paling sulit saya pahami
    Hal lain yang juga tidak jelas adalah bagaimana bisa lolos SOC 2 kalau akses akun tidak diputus saat hubungan kerja berakhir

    • Dari artikelnya, terdengar seolah kata sandinya memang benar-benar disimpan dalam teks biasa
      “Pada 1 Februari 2025, Muneeb Akhter meminta Sohaib Akhter untuk memberikan kata sandi teks biasa milik seseorang yang telah mengajukan keluhan di Public Portal Equal Employment Opportunity Commission. Portal itu dikelola oleh pemberi kerja kedua saudara Akhter. Sohaib Akhter lalu menjalankan kueri terhadap basis data EEOC dan memberikan kata sandi tersebut kepada Muneeb Akhter. Kata sandi itu kemudian digunakan untuk mengakses akun email orang tersebut tanpa izin.”
    • Kebijakan dan pelaksanaan nyata bisa berbeda. Perusahaan ini dan seluruh manajemennya pantas masuk daftar hitam seseorang untuk pengadaan di masa depan
    • Sepertinya Anda tidak terlalu memahami apa itu SOC 2
      Pertama, SOC 2 menyebar seperti virus, dan hampir tidak pernah diadopsi karena keunggulan teknisnya sendiri. Kedua, ada beberapa tingkat. Tingkat pertama pada dasarnya hanya “kami menulis dokumen tentang bagaimana kami berencana menangani keamanan”
      Tingkat kedua bisa berarti mulai menerapkan atau mulai melacaknya. Intinya ada di tingkat pertama. Jika departemen SOC 2 perusahaan memberi tahu Anda bahwa demi kepatuhan SOC 2 mereka harus melakukan hal bodoh, maka kebodohan itu dibuat oleh seseorang di dalam perusahaan dan orang itu seharusnya dipecat. Meski begitu, Anda tetap harus mengikuti rencana bodoh itu, karena itulah prosedurnya
      Dalam kasus ini, mungkin rencana mereka memang sudah menjawab “bagaimana cara memecat orang” dan “bagaimana mencegah satu model bahasa besar menghapus 96 basis data produksi dalam satu sesi”. Rencana itu juga mungkin sudah diterapkan. Kalau begitu, perusahaan tetap patuh SOC 2, dan ini bisa saja justru bentuk seperti apa prosedur SOC 2 yang bekerja itu terlihat
    • Tergantung kebijakan offboarding. Jika kebijakannya misalnya 72 jam, maka itu belum tentu pelanggaran kebijakan
    • Kalau bukan teks biasa, lalu menurut Anda kata sandi itu seharusnya disimpan persis bagaimana? Tentu setelah itu harus dienkripsi. Angka 5.000 memang banyak, dan proses otorisasi jelas rusak, tetapi itu terpisah dari cara penyimpanan kata sandi
      Satu-satunya solusi adalah pemisahan akses yang benar dan bastion

  • Bukan berarti “mantan karyawan yang masih punya akses ke sistem perusahaan adalah risiko keamanan”. Karyawan yang bisa menghapus 96 basis data pun, bahkan saat masih bekerja, sudah merupakan risiko keamanan
    Tentu saja lebih mudah mengambil jalur yang tidak manusiawi dengan memutus semuanya saat hubungan kerja berakhir daripada benar-benar memperbaiki masalahnya

  • Perusahaan kami juga baru-baru ini melakukan PHK. Karena masih perusahaan muda, prinsip hak akses minimal belum diterapkan, dan orang-orang bisa mengakses basis data produksi karena permintaan dukungan. Tetap saja, tidak ada yang berbuat jahat
    Semua orang tahu apa yang akan terjadi, tetapi tidak ada pembalasan. Pertama, kalau ingin pindah ke pekerjaan berikutnya tanpa masalah hukum, lebih baik tidak menimbulkan beban, dan semua tindakan bisa dilacak. Kedua, untuk apa? Mengapa harus merusak hasil kerja rekan sendiri?