New Jersey’deki bir devlet lisesinin eski BT yöneticisi Conor LaHiff, Haziran 2023’te işine son verilmesinin ardından eski işverenine siber saldırı düzenlediğini itiraf etti.
Geçen hafta ABD Adalet Bakanlığı (DOJ), LaHiff’in, Bilgisayar Sahtekarlığı ve Kötüye Kullanım Yasasını (CFAA) ihlal ederek, korunan bilgisayarlara izinsiz zarar verme suçunu kabul ettiğini duyurdu.
DOJ duyurusu, siber saldırıyı, özellikle Apple ve BT yönetici hesaplarını hedef alan ve okulun operasyonlarında hasara ve aksamaya neden olan bir misilleme eylemi olarak tanımlıyor.
ABD Adalet Bakanlığı duyurusunda şöyle yazıyor: “Kovulduktan sonra LaHiff, idari ayrıcalıklarını kullanarak okulun Apple School Manager hesabındaki binlerce Apple kimliğini devre dışı bırakmak ve silmek için kullandı; bu yazılım öğrenci, öğretim üyesi ve personel bilgi teknolojisi kaynaklarını yönetmek için kullanıldı.”
“LaHiff ayrıca 1.400’den fazla diğer Apple hesabını ve diğer BT idari hesaplarını devre dışı bıraktı ve okulun özel şube telefon sistemini devre dışı bıraktı, bu da okulun telefon hizmetini yaklaşık 24 saat boyunca kullanılamaz hale getirdi.”
Yayınlanan mahkeme belgelerine göre LaHiff, işine son verildikten sonra aşağıdaki eylemleri gerçekleştirdi:
- Okulun Apple Okul Yönetimi hesabından 1.200 Apple Kimliği silindi
- 1.400’den fazla Apple hesabı devre dışı bırakıldı
- Apple Sınıf Kimlikleri, Kurs Kimlikleri, Konum Kimlikleri ve Kişi Kimliklerinin okulun Apple Okul Yönetimi hesabıyla bağlantısı kesilmeye çalışıldı.
- Güvenlik sağlayıcılarındaki hesaplar dahil, devre dışı bırakılan yönetim hesapları.
- Okulun özel şube telefon hizmeti devre dışı bırakıldı
Duyuruda, LaHiff’in eylemlerinin okulun en az 5.000 dolar doğrudan mali kayba uğramasına neden olduğu belirtiliyor.
Bu, hoşnutsuz eski bir çalışanın, iptal edilmemiş üst düzey erişimlerini kullanarak kritik ağlara inadına zarar vermesinin bir başka örneğidir.
İşten çıkarılan personelin hesap erişiminin iptal edilmesi gibi insan kaynakları kararlarının BT departmanı eylemleriyle koordine edilmesi gibi basit bir eylem, bu tür riskleri önemli ölçüde azaltacaktır.
İlginç bir şekilde, eylemlerine rağmen LaHiff, başka bir devlet lisesinde benzer bir pozisyonu zaten doldurmuştu; yargıç, LaHiff’in suç duyurusunu bildirmesini talep ediyor.
LaHiff’in 20 Mart 2024’te cezalandırılması planlanıyor ve olası maksimum 10 yıl hapis ve 250.000 dolara kadar para cezasıyla karşı karşıya kalacak.