जुड़वां भाइयों ने नौकरी से निकाले जाने के कुछ मिनट बाद 96 सरकारी डेटाबेस मिटाए

 (arstechnica.com)
1 पॉइंट द्वारा GN⁺ 10 시간 전 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • Muneeb Akhter और Sohaib Akhter पर आरोप है कि नौकरी से निकाले जाने के तुरंत बाद बचे हुए अकाउंट access का इस्तेमाल कर उन्होंने अमेरिकी सरकार के 96 डेटाबेस मिटा दिए
  • दोनों ने पहले wire fraud और computer crime मामलों में दोष स्वीकार किया था, फिर Washington, DC की एक कंपनी में नौकरी पाई जो 45 संघीय ग्राहकों को सेवाएं बेचती थी
  • Muneeb ने कंपनी नेटवर्क से मिले 5,400 usernames और passwords इकट्ठा किए और Python script से DocuSign, airlines और Marriott जैसी सेवाओं में login करने की कोशिश की
  • 18 फ़रवरी 2025 को नौकरी से निकाले जाने के 5 मिनट बाद Sohaib का VPN और Windows अकाउंट बंद हो गया, लेकिन Muneeb का अकाउंट सक्रिय रहा और वह DROP DATABASE dhsproddb चला सका
  • दोष स्वीकार करने के बाद Muneeb ने अपने वकील पर सवाल उठाए और कुछ आरोपों में खुद को निर्दोष बताया, जबकि Sohaib को computer fraud conspiracy, password trafficking और firearms possession के मामलों में दोषी ठहराया गया

नौकरी से निकालने से पहले अकाउंट ब्लॉक करना क्यों ज़रूरी है

  • अमेरिका में नौकरी से निकालने या layoff से पहले प्रभावित लोगों के digital credentials को अक्सर पहले ही निष्क्रिय कर दिया जाता है
  • कई बार कंपनी सिस्टम में login fail होना ही नौकरी खत्म होने का पहला संकेत बन जाता है, लेकिन सिस्टम access रखने वाला निकाला गया कर्मचारी security risk बन सकता है, इसलिए यह प्रक्रिया आम हो गई है
  • Muneeb Akhter और Sohaib Akhter जुड़वां भाइयों का मामला दिखाता है कि नौकरी समाप्ति के तुरंत बाद कुछ मिनट तक बचा access कितना नुकसान कर सकता है

Akhter भाइयों की पृष्ठभूमि और access

  • Muneeb Akhter और Sohaib Akhter की उम्र अब 34 साल है, और 2015 में Virginia में wire fraud और computer-related crimes से जुड़ी एक साजिश में दोष स्वीकार करने का रिकॉर्ड है
  • Muneeb को 3 साल और Sohaib को 2 साल की सज़ा मिली थी
  • जेल से बाहर आने के बाद Muneeb ने 2023 में Washington, DC की एक कंपनी join की, और Sohaib एक साल बाद उसी कंपनी में शामिल हुआ
  • यह कंपनी 45 संघीय ग्राहकों को software और services बेचती थी
  • अमेरिकी सरकार के अनुसार, 1 फ़रवरी 2025 को Muneeb ने Sohaib से EEOC Public Portal में शिकायत दर्ज करने वाले एक व्यक्ति का plain-text password मांगा
    • Sohaib ने EEOC डेटाबेस में query चलाकर वह password Muneeb को दिया
    • बाद में उसी password का इस्तेमाल उस व्यक्ति के email account में अनधिकृत access के लिए किया गया

credentials इकट्ठा करना और automated login attempts

  • Muneeb कंपनी नेटवर्क डेटा से मिले 5,400 usernames और passwords इकट्ठा कर रहा था
  • उसने इन login details को आम websites पर आज़माने के लिए एक custom Python script बनाई
  • marriott_checker.py Marriott hotel chain में login करने की कोशिश करने वाला application था
  • Muneeb ने DocuSign, airline accounts और अन्य सेवाओं समेत सैकड़ों बार login सफलतापूर्वक किया
  • अगर किसी victim account में air miles होते, तो Muneeb उनसे अपनी यात्रा भी बुक कर लेता था

नौकरी से निकाले जाने के तुरंत बाद हुई डेटाबेस deletion

  • लगता है कि भाइयों के employer को फ़रवरी में किसी समय उनकी आपराधिक पृष्ठभूमि का पता चला
  • 18 फ़रवरी 2025 को Virginia में साथ रह रहे दोनों भाइयों को एक साथ Microsoft Teams meeting में बुलाया गया और तुरंत नौकरी से निकाल दिया गया
  • meeting कामकाजी समय समाप्त होने के समय, शाम 4:50 बजे, खत्म हुई
  • 5 मिनट बाद Sohaib ने अपने पूर्व employer के नेटवर्क में access करने की कोशिश की, लेकिन उसका VPN access और Windows account पहले ही बंद किया जा चुका था
  • Muneeb का अकाउंट block list से छूट गया था, और उसने तुरंत अमेरिकी सरकारी डेटाबेस तक पहुंच बना ली
  • शाम 4:56 बजे Muneeb ने ऐसा command चलाया जिससे दूसरे users डेटाबेस से connect या उसमें बदलाव न कर सकें, और फिर डेटाबेस delete करने का command चलाया
  • शाम 4:58 बजे उसने DROP DATABASE dhsproddb command से Department of Homeland Security का डेटाबेस मिटा दिया
  • शाम 4:59 बजे उसने एक AI tool से पूछा, “डेटाबेस delete करने के बाद SQL server के system logs कैसे साफ करें?”
  • इसके बाद उसने यह भी पूछा, “Microsoft Windows Server 2012 में सभी event और application logs कैसे साफ करें?”
  • एक घंटे के भीतर Muneeb ने करीब 96 डेटाबेस मिटा दिए, जिनमें अमेरिकी सरकारी जानकारी थी
  • उसने EEOC की 1,805 files डाउनलोड कर USB drive में रखीं, और कम-से-कम 450 लोगों की संघीय tax information भी ले गया

भाइयों के बीच बातचीत और छिपाने की कोशिश

  • डेटा deletion के दौरान दोनों आपस में लगातार बात करते रहे, लेकिन सरकार ने यह साफ नहीं किया कि यह बातचीत text, instant message या आमने-सामने हुई थी
  • Sohaib ने Muneeb का काम देखते हुए कहा, “मैं देख रहा हूँ कि तुम उनके database backups भी साफ कर रहे हो”
  • जैसे-जैसे deletion बढ़ता गया, Sohaib ने कहा, “अच्छा, अगर plausible deniability हो तो”
  • Muneeb ने कहा, “वे कल के backup से restore कर सकते हैं,” और Sohaib ने जवाब दिया, “हाँ, कर सकते हैं”
  • Sohaib ने सुझाव दिया, “file system भी delete कर दें?” और Muneeb ने जवाब दिया, “smart सोच
  • Sohaib ने कहा, “एक kill script होनी चाहिए थी. कुछ ransom जैसा—” और Muneeb ने जवाब दिया, “नहीं, ऐसा नहीं करना चाहिए, वही तो guilt का सबूत है”
  • डेटाबेस और event logs मिटाने के बाद, भाइयों ने एक unnamed co-conspirator की मदद से कंपनी laptop का operating system दोबारा install किया

तलाशी, आरोप और मुकदमे का नतीजा

  • संघीय जांच एजेंसियों की वास्तविक तलाशी नौकरी से निकाले जाने और deletion के 3 हफ्ते बाद हुई
  • 12 मार्च 2025 को Alexandria में Sohaib के घर पर search warrant execute किया गया
  • जांचकर्ताओं ने कई तकनीकी डिवाइस जब्त किए और 7 firearms तथा .30 caliber की 370 गोलियां भी बरामद कीं
  • Sohaib अपने पुराने आपराधिक रिकॉर्ड के कारण ऐसे हथियार और ammunition रखने का हकदार नहीं था
  • जांच के दौरान भाई 9 महीने और खुले रहे, लेकिन 3 दिसंबर को गिरफ्तार किए गए और कई आपराधिक आरोप लगाए गए
  • indictment CourtListener document में देखा जा सकता है
  • Muneeb ने 15 अप्रैल 2026 को plea agreement पर हस्ताक्षर किए और indictment के मुख्य आरोप स्वीकार किए
  • Sohaib मुकदमे तक गया, लेकिन हार गया
  • 7 मई 2026 को jury ने Sohaib को computer fraud conspiracy, password trafficking और प्रतिबंधित व्यक्ति द्वारा firearm possession के आरोपों में दोषी ठहराया
  • Sohaib की sentencing सितंबर में तय है

Muneeb का जेल से पत्र और plea पर सवाल

  • Muneeb ने जेल से handwritten petition देकर दावा किया कि उसका वकील प्रभावी नहीं था
  • बाद में दाखिल दस्तावेज़ों में Muneeb ने अपने हस्ताक्षर किए हुए guilty plea पर ही सवाल उठाया
  • 27 अप्रैल को judge को भेजे गए एक पैराग्राफ के पत्र में उसने लिखा, “ईश्वर मेरी बात का मार्गदर्शन करे”
    • उसने लिखा कि “सरकार ने pretrial motion deadline के दौरान सबूत को चुनौती देने की मेरी क्षमता सीमित की, और जिस तेज़ी से मुझसे हस्ताक्षर की उम्मीद की गई उससे मैं और अपने plea से असहज हूँ”
    • उसने यह भी जोड़ा, “मैं अपने भाई की निर्दोषता का समर्थन करता हूँ,” लेकिन कुछ ही दिनों बाद Sohaib दोषी ठहराया गया
  • 5 मई को दाखिल एक और संक्षिप्त handwritten letter में Muneeb ने count 10 में खुद को निर्दोष बताया
    • उसका तर्क था कि “DocuSign account access से कोई मूल्यवान चीज़ नहीं मिलती, और न उसने उससे कोई मूल्यवान चीज़ ली, न लेने का इरादा था”
    • इस पत्र में 96 डेटाबेस deletion का ज़िक्र नहीं था
  • 5 मई को दाखिल तीसरे पत्र में Muneeb ने खुद अपनी पैरवी करने के लिए pro se proceeding की अनुमति मांगी

employer Opexus और प्रक्रिया की विफलता

  • अदालत के दस्तावेज़ों में भाइयों को नौकरी देने वाली कंपनी का नाम उजागर नहीं किया गया, लेकिन रिपोर्टों में उसकी पहचान Opexus के रूप में हुई
  • Opexus ने दिसंबर में Cyberscoop को इस मामले पर अपना पक्ष दिया
  • Opexus ने माना कि background check किया गया था, लेकिन “अतिरिक्त due diligence” लागू होनी चाहिए थी
  • कंपनी ने यह भी स्वीकार किया कि “नौकरी समाप्ति को सही तरीके से handle नहीं किया गया”
  • कंपनी ने कहा कि “जुड़वां भाइयों की hiring के लिए जिम्मेदार लोग अब Opexus में नहीं हैं”
  • hiring, background verification, नौकरी समाप्ति प्रक्रिया और अकाउंट blocking — सब मिलकर यह पूरी तरह की विफलता बन गए

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 10 시간 전
Hacker News की टिप्पणियाँ

  • Opexus का यह कहना कि “जुड़वाँ भाइयों को भर्ती करने के लिए ज़िम्मेदार लोग अब Opexus में काम नहीं करते” कुछ-कुछ Monty Python की उस क्लासिक लाइन जैसा लगता है: “जिन्होंने अभी-अभी निकाले गए लोगों को निकाला, उन्हें भी निकाल दिया गया।”
    मज़ाक अपनी जगह, लेकिन चिंता यह है कि ऐसे मामलों से बहुत से employers सिर्फ़ सबसे चरम और अमानवीय सबक ही सीखेंगे। जैसे layoffs और terminations को जितना हो सके उतना अचानक करना, access तुरंत काट देना, या दशकों पुरानी marijuana possession जैसी चीज़ों सहित किसी भी criminal record वाले को कभी दूसरा मौका न देना।
    मुझे लगता है कि ज़्यादा संतुलित approach बेहतर है। sensitive systems पर unilateral access सिर्फ़ हाल ही में निकाले गए लोगों के लिए नहीं, बल्कि सामान्य रूप से भी सीमित होना चाहिए; termination के समय खास तौर पर sensitive credentials तुरंत revoke किए जाने चाहिए, लेकिन सामान्य login या email accounts तक सब कुछ एक साथ उड़ा नहीं देना चाहिए। wire fraud में दोषी ठहराए गए व्यक्ति को system administrator मत बनाइए, और passwords को कम-से-कम hash तो कीजिए

    • termination notification meeting के दौरान, व्यक्ति को पता चलने से पहले ही access काट देना और ज़रूरत पड़े तो passwords बदल देना कम-से-कम पिछले 20 सालों से standard procedure रहा है
    • अगर किसी के पास उस स्तर का access है, तो “termination को जितना हो सके अचानक करना और access तुरंत काट देना” न करना ही अयोग्यता है। ऐसे roles में यह पूरी तरह standard है और ऐसा होना ही चाहिए।
      जहाँ-जहाँ मैंने काम किया, ज़्यादातर IT staff के साथ हमेशा यही होता था। HR से बात करते समय कोई उनका desk साफ़ करवाता था, और security staff उन्हें बाहर तक escort करता था
    • अभी भी यही होता है
      अमेरिका में Teams meeting के दौरान पीछे से access काट दिया जाता है, और अगर resume में कोई gap, issue, या छोटी-सी भी खरोंच हो तो कोई AI agent उसे सीधे trash में फेंक देता है
    • malicious agentic AI के दौर में इस स्तर का access अपने-आप में लापरवाही है। अगर ऐसा होने से रोकने वाले engineering controls ही नहीं थे, तो सिर्फ़ एक साधारण phishing या supply-chain attack से भी वही या उससे बदतर नतीजा आसानी से आ सकता था
    • employee को हमेशा सबसे आख़िर में पता चलता है। यही standard process है

  • हैरानी इस बात की है कि ऐसे लोगों को शुरू में hire कैसे किया गया। ये अमेरिकी भी नहीं लगते, तो फिर sensitive systems पर काम कैसे कर रहे थे, यह सवाल है।
    शाम 4:58 पर “DROP DATABASE dhsproddb” command चलाकर Department of Homeland Security का database मिटा दिया गया, और 4:59 पर AI tool से पूछा गया, “database delete करने के बाद SQL Server system logs कैसे delete करूँ?” बाद में यह भी पूछा गया, “Microsoft Windows Server 2012 के सभी event और application logs कैसे delete करूँ?”
    एक घंटे के भीतर Muneeb ने अमेरिकी सरकारी जानकारी वाले करीब 96 databases delete कर दिए

    • दोनों का जन्म Maryland में हुआ था, और वे काफ़ी सक्षम लगते हैं। कम-से-कम पढ़ाई में cheat करके निकलने में तो माहिर थे, और हो सकता है कि तकनीकी रूप से भी वाक़ई काफ़ी सक्षम रहे हों।
      https://www.somdnews.com/archive/news/19-year-old-twins-high...
    • अरे, यह DHS है। इसे competent या top talent hire करने वाली agency मानने का नाटक करने की ज़रूरत नहीं। यह टाई और बंदूक पकड़े बढ़ा-चढ़ाकर दिखाए गए chimpanzees के ज़्यादा क़रीब है
    • लगता है इन्होंने job application में felony conviction छिपाई थी, और किसी आम वजह से background-check vendor उसे पकड़ नहीं पाया, या contractor इतना अक्षम था कि उसने check ही नहीं किया
    • “अमेरिकी नहीं लगते” वाला निष्कर्ष आपने कैसे निकाला? क्या सिर्फ़ नाम देखकर?

  • 12 मार्च 2025 को Alexandria में Sohaib के घर पर search warrant execute किया गया, और agents को कई tech devices के अलावा 7 firearms और .30 caliber की 370 rounds ammunition भी मिली। उसके पुराने criminal record के हिसाब से Sohaib को ये चीज़ें रखनी ही नहीं चाहिए थीं।
    कृपया crime करते समय एक और crime मत कीजिए

    • “उसके पुराने criminal record के हिसाब से Sohaib को ये चीज़ें नहीं रखनी चाहिए थीं” से भी आगे की बात है—किसी को भी निजी armory नहीं रखनी चाहिए
    • वह पीछे के दरवाज़े से भागा होगा और संयोग से वहीं state border रही होगी; मैं आधा यह उम्मीद कर रहा था कि सब ढकने के लिए वह बंदूकें डाक से अपने ही घर भेज देगा
    • पकड़े जाने वाले criminals में बेवकूफ़ criminals की तरफ़ काफ़ी मज़बूत selection bias होता है
    • crime एक बार में एक ही करना चाहिए

  • अमेरिकी सरकार बुनियादी software systems बनाने में इतनी अक्षम है कि इस घटना को लगभग अच्छी ख़बर की तरह देखना पड़ता है। मुझे लगता है कि इससे पहले की हज़ारों intrusions इतनी आसानी से detect नहीं हुई होंगी

  • शाम 4:58 पर “DROP DATABASE dhsproddb” command से Department of Homeland Security का database उड़ा देना बेहद हास्यास्पद है। झगड़ालू दो भाइयों की यह जोड़ी Casey Affleck और Scott Caan द्वारा निभाए गए Oceans फ़िल्मों के किरदारों की याद दिलाती है।
    हैरानी इस बात की है कि ये लोग sensitive data के इतने क़रीब तक पहुँच गए

    • 4:59 पर AI tool से “database delete करने के बाद SQL Server system logs कैसे delete करूँ?” पूछना, और बाद में “Microsoft Windows Server 2012 के सभी event और application logs कैसे delete करूँ?” पूछना इतने सारे red flags हैं कि शब्द नहीं हैं
    • “मर्द है?” “हाँ, 19।” “ज़िंदा है?” “हाँ, 18!” “Evel Knievel.”
      इन दोनों में थोड़ा Rosencrantz and Guildenstern वाला एहसास भी है
    • फ़िल्मों में वे दोनों हमेशा highlights थे। खासकर वह scene अच्छा था जहाँ एक भाई Mexico की factory riot में दूसरे से मिलता है
    • शायद वीडियो में यही दोनों हैं: https://youtu.be/Rx19zOzQeis

  • समझ नहीं आता शुरुआत कहाँ से करूँ, लेकिन इन दो jokers को DHS के production databases तक पहुँच देने वाली security clearance मिली होगी, यह मानना मुश्किल है। ज़्यादा संभावना यही है कि इन्होंने उस स्तर की clearance वाले किसी और employee के credentials चुरा लिए हों।
    और tax records भी DHS domain में store नहीं होते। लगता है details को छिपाने के लिए कहानी को साफ़-सुथरा किया गया है; ऐसा हो सकता है, लेकिन background explanation पर यक़ीन करना मुश्किल है

  • लगभग 25 साल पहले मेरी एक पुरानी company में layoffs हुए थे। एक DBA भी बाकी लोगों के साथ निकाला गया, लेकिन उस दौर में access तुरंत revoke नहीं किया जाता था और वह अपने work computer का इस्तेमाल दिन ख़त्म होने तक कर सकता था। ज़्यादातर लोग अपना सामान समेटकर चले गए।
    लेकिन उस निकाले गए DBA ने रुककर अपने ज़िम्मे का database backup job पूरा किया, और काम ख़त्म होने के बाद सामान समेटकर चला गया। यह सच घटना है

  • समझ नहीं आता कि इन्हें 5,000 passwords तक access कैसे मिला। क्या passwords plaintext में भेजे या store किए जा रहे थे? लेख का यही हिस्सा सबसे कम समझ में आता है।
    एक और अस्पष्ट बात यह है कि employment ख़त्म होते ही account access बंद किए बिना कोई SOC 2 कैसे pass कर सकता है

    • लेख पढ़कर तो यही लगता है कि passwords सच में plaintext में stored थे।
      “1 फ़रवरी 2025 को Muneeb Akhter ने Sohaib Akhter से Equal Employment Opportunity Commission के Public Portal में complaint submit करने वाले एक व्यक्ति का plaintext password माँगा। यह portal Akhter भाइयों के employer द्वारा maintain किया जाता था। Sohaib Akhter ने EEOC database पर query चलाई और वह password Muneeb Akhter को दे दिया। बाद में उसी password का इस्तेमाल उस व्यक्ति के email account में unauthorized access के लिए किया गया।”
    • policy और actual practice अलग-अलग हो सकते हैं। इस company और इसकी पूरी management team को आगे की procurement में किसी की blacklist में होना चाहिए
    • लगता है आप SOC 2 को ठीक से नहीं समझते।
      पहली बात, SOC 2 किसी virus की तरह फैलता है, और अपनी किसी तकनीकी ख़ूबी के कारण शायद ही कभी अपनाया जाता है। दूसरी बात, इसके कई levels होते हैं। पहला स्तर लगभग यह होता है कि “हमने लिखकर document कर दिया है कि security कैसे करेंगे।”
      दूसरा स्तर implementation शुरू करने या tracking शुरू करने जैसा हो सकता है। असली बात पहला स्तर है। अगर आपकी company का SOC 2 department कहता है कि SOC 2 compliance के लिए कोई बेवक़ूफ़ी करनी होगी, तो वह बेवक़ूफ़ी company के अंदर किसी ने बनाई है, और उसी को निकालना चाहिए। फिर भी आपको उस बेवक़ूफ़ी भरी plan का पालन करना पड़ता है, क्योंकि process वही है।
      इस मामले में “लोगों को कैसे terminate करेंगे” और “कैसे रोकेंगे कि एक ही बड़े language model वाला session 96 production databases को DROP न कर दे” जैसे सवालों के जवाब plan में मौजूद रहे होंगे, और हो सकता है वे implement भी किए गए हों। तब company अब भी SOC 2 compliant होगी, और यह जो हो रहा है वह शायद एक functioning SOC 2 process जैसा ही दिखेगा
    • यह offboarding policy पर निर्भर करता है। अगर policy में 72 घंटे जैसा कुछ लिखा है, तो शायद यह policy violation न हो
    • अगर plaintext नहीं है, तो आप passwords को ठीक-ठीक किस तरह store करना चाहते हैं? उसके बाद encrypt तो करना ही होगा। 5,000 बहुत ज़्यादा हैं, और authorization process टूटा हुआ था, यह सही है, लेकिन यह password storage से अलग समस्या है।
      एकमात्र समाधान सही access separation और bastion है

  • “निकाले गए employee के पास company systems का access होना security risk है” — असली बात यह नहीं है। 96 databases delete कर सकने वाला employee, नौकरी में रहते हुए भी, खुद एक security risk है।
    बेशक, चीज़ों को सही ढंग से ठीक करने से आसान यह अमानवीय रास्ता है कि termination के समय सब कुछ बंद कर दिया जाए

  • हमारी company में भी हाल ही में layoffs हुए। company अभी जवान है, इसलिए least-privilege principle लागू नहीं हुआ था, और support requests की वजह से लोगों के पास production databases तक access था। फिर भी किसी ने कुछ बुरा नहीं किया।
    लोगों को पता था क्या होने वाला है, लेकिन कोई retaliation नहीं हुई। पहली बात, अगर बिना क़ानूनी झंझट के अगली नौकरी पर जाना है तो अपने ऊपर अतिरिक्त बोझ डालना समझदारी नहीं है, और actions traceable होते हैं। दूसरी बात, क्यों करें? अपने सहकर्मियों की मेहनत क्यों बर्बाद करें?