从删库到跑路,你一定想不到有人曾经专门为此写过一本白皮书。作为DBA工作者,“删库跑路”不仅仅是一句玩笑,这样的事情还真实的反复发生。
昨天看到一则新闻,追溯原文,竟然匪夷所思的是真实的故事。一对孪生兄弟,因为被裁员,转而删除了96个美国政府数据库,根据报道,事后他们还咨询“AI”,如何抹去操作的痕迹。
新闻的主要信息如下:
据美国司法部(DOJ)周四公布的起诉书显示,34 岁的穆尼布・阿赫特(Muneeb Akhter)和索海布・阿赫特(Sohaib Akhter)兄弟在弗吉尼亚州被捕。两人受雇于一家为 45 个美国联邦机构提供软件服务的承包商公司。
2025 年 2 月 18 日下午 4 点 55 分,公司正式解雇了这对兄弟。然而,仅过了 5 分钟,尚未交出权限的两人便利用未被及时切断的账号,潜回公司系统并发起了报复性攻击。
索海布在进入系统后,迅速更改了访问权限,阻止其他用户连接或修改数据库,随即下达了删除指令。这场攻击导致 96 个数据库被彻底清空,其中包含大量涉及国土安全部(DHS)的敏感调查文件以及与《信息自由法》(FOIA)相关的记录。
该媒体指出,尽管这对兄弟实施了大胆的破坏行动,但其反侦察技术却显得拙劣可笑。起诉书披露,在删除国土安全部的数据仅仅一分钟后,穆尼布便向一个 AI 聊天工具发出了提问:“删除数据库后,我该如何清除 SQL 服务器的系统日志?”
他具体的问题是:“如何清除 Microsoft Windows Server 2012 的所有事件和应用程序日志?”这一举动表明,两人虽然完成了破坏,却根本不知道如何通过技术手段掩盖踪迹。另外,被破坏的显然是“SQL Server”数据库。美国政府主要应用的是微软的数据库产品,Oracle仍需努力啊!
显然,事前没想清楚?冲动?两兄弟心意相通,都没有思考法律风险?
讲真,DBA的职业操守,第一条就应当是“守护数据安全”。就如同飞行员,守护生命安全是第一位的。
看看这个匪夷所思的新闻。我反复确认这个新闻的发布日期是2025年12月5日。bloomberg的新闻也是5日的。
但是关于两兄弟犯案的新闻还有2015年的。所以两兄弟竟然是惯犯,惯犯的准备工作竟然如此不充分。Bloomberg的报道如下:
这对兄弟曾就职于Opexus公司,这是一家总部位于华盛顿的公司,隶属于私募股权公司Thoma Bravo,该公司为联邦机构提供软件,用于管理和处理《信息自由法》(FOIA)申请和政府记录。事实证明,阿赫特兄弟此前曾因入侵美国国务院系统而入狱服刑,当时他们还是政府承包商。
根据他们公开的工作经历,出狱后,他们重操旧业,从事开发人员和工程师的工作。最终,他们被Opexus公司聘为工程师,这一职位使他们能够访问公司服务器上上传的大量数据和文档。他们的部分工作内容包括为多个机构的项目提供服务,这些机构包括美国国税局、能源部、国防部以及国土安全部监察长办公室。
重操旧业,不仅仅是工程师。我检索了一下2015年的报道:
这对双胞胎的被捕标志着他们命运的巨大逆转。2011年,19岁的他们是当年乔治梅森大学最年轻的毕业生,后来还获得了美国国防高级研究计划局20万美元的研究经费。
穆尼布·阿赫特尔于2014年6月开始在国防承包商通用动力公司担任国土安全部的信息技术安全专家,但于7月被解雇。他随后在10月获得了另一家国防承包商博思艾伦汉密尔顿公司的职位。同样在10月,索海布·阿赫特尔被ActioNet公司雇佣,"为国务院执行合同工作"。
据起诉书称,在获悉自己将被调离该职位后,索海布·阿赫特尔利用"护照保险箱"系统进行了约120次美国护照记录查询。该程序还存储了申请人的各种个人身份信息,联邦法规规定该系统只能因公务需要而访问。“阿赫特兄弟及其同谋利用窃取的信息购买商品和服务,包括机票、酒店预订和参加专业会议。” “穆尼布·阿赫塔尔还将窃取的信息提供给了他在‘暗网’上认识的一个人,此人将这些信息卖给了其他暗网用户,并给了阿赫塔尔一部分利润。
上次也是因为离职,冲动是魔鬼、冲动是魔鬼!
据美国司法部称,他们于11月13日被起诉,罪名是删除和篡改敏感的政府信息。
根据法庭文件,这对兄弟在失业后,涉嫌试图损害该公司及其政府客户的利益。2月18日,穆尼布据称删除了约96个数据库(Muneeb allegedly deleted about 96 databases)。兄弟俩还讨论了在执法部门可能搜查之前清理房屋,他们的公司笔记本电脑在归还前也被清空了。
穆尼布·阿赫特还被指控在被承包商解雇后,未经授权从美国平等就业机会委员会(EEOC)获取信息。他还被指控窃取了存储在虚拟机上的美国国税局(IRS)信息副本,其中包括至少450人的联邦税务信息和其他身份信息。起诉书还指控索海布·阿赫特贩卖可用于访问美国政府计算机的密码。
难以想象,两兄弟重复踏入同一条河流,我们应该说什么呢?当然是一定要通过系统性工具产品防范恶意的删库和数据高危操作。云和恩墨的zCloud产品就是通过运维的隔离保障数据库的安全,zDBM则是通过实时备份确保数据可恢复。我觉得美国政府的数据库也需要我们的产品!
这个案例很值得分析一下,有空再捋捋时间线。但是有一说一,两兄弟前后都是服务于米国政府,容错性真高啊!
参考:
https://www.bloomberg.com/news/newsletters/2025-12-05/foia-data-breach-leads-to-indictment
https://www.bankinfosecurity.com/twins-plead-guilty-to-multiple-schemes-a-8363
https://www.justice.gov/opa/pr/two-virginia-men-arrested-conspiring-destroy-government-databases