Hai anh em sinh đôi từng bị kết án bị xóa khỏi 96 cơ sở dữ liệu liên bang sau khi bị sa thải

Vụ hack xảy ra trong nội bộ một nhà thầu của chính phủ liên bang Hoa Kỳ đang trở thành một ví dụ tiêu cực về an ninh thông tin và đánh giá nhân sự. Mới đây, hai anh em sinh đôi 34 tuổi Sohaib Akhter và Muneeb Akhter đã bị bồi thẩm đoàn liên bang kết tội hoặc nhận tội trước vì xóa ác ý cơ sở dữ liệu của chính phủ liên bang và tiến hành các hoạt động hack liên quan sau khi bị sa thải.

Theo thông tin do Bộ Tư pháp Hoa Kỳ công bố, bồi thẩm đoàn gần đây đã kết luận Sohaib Akhter phạm tội âm mưu lừa đảo máy tính và bán lại mật khẩu, trong khi anh trai Muneeb trước đó đã thừa nhận tham gia vào các hành vi liên quan thông qua thỏa thuận nhận tội. Vụ việc xảy ra sau khi cặp đôi này bị nhà thầu chính phủ liên bang Opexus sa thải khỏi công việc, nơi cung cấp dịch vụ cho hơn 45 cơ quan chính phủ và lưu trữ thông tin nhạy cảm bao gồm dữ liệu liên quan đến Đạo luật Tự do Thông tin (FOIA) và các hồ sơ điều tra liên bang.

Vụ việc cho thấy Opexus đã thông báo cho hai người về việc sa thải họ thông qua hội nghị truyền hình vào tháng 2 năm ngoái sau khi công ty phát hiện ra rằng họ đã bị liên bang kết án về tội phạm mạng vào đầu năm 2015, nhưng lý lịch quan trọng này không được công nhận đầy đủ trong lần tuyển dụng ban đầu. Mặc dù công ty tuyên bố đã tiến hành "kiểm tra lý lịch rộng rãi" đối với hai người đàn ông, nhưng dường như họ đã không tìm hiểu được hồ sơ hack trong quá khứ của họ và sự thiếu sót này đã mở đường cho các cuộc tấn công nội bộ nghiêm trọng sau đó.

Trong vòng vài phút sau khi bị sa thải, hai anh em bắt đầu nhắm mục tiêu vào dữ liệu của công ty và chính phủ. Cuộc điều tra cho thấy chỉ trong vài giờ, Muneeb đã xóa khoảng 96 cơ sở dữ liệu chứa dữ liệu yêu cầu FOIA và các tài liệu liên quan đến cuộc điều tra liên bang. Đồng thời, anh ta còn khóa các tài khoản người dùng khác, ngăn cản việc truy cập bình thường vào hệ thống.

Điều đáng xấu hổ hơn nữa là Opexus chỉ kịp thời cắt quyền truy cập hệ thống của Sohaib trong quá trình chấm dứt mà lại “quên” làm điều tương tự với tài khoản của Muneeb. Trong vòng sáu phút sau khi được thông báo về việc chấm dứt hợp đồng, Muneeb đã bắt đầu chặn những người dùng khác và xóa cơ sở dữ liệu, trước khi đánh cắp thêm 1.805 tài liệu từ Ủy ban Cơ hội Việc làm Bình đẳng (EEOC) và thông tin thuế liên bang của hơn 450 người.

Khi các nhà điều tra dựng lại vụ việc, họ nhận thấy "trình độ kỹ thuật" của hai anh em không tinh vi như các hacker chuyên nghiệp. Sau khi xóa cơ sở dữ liệu, để che giấu dấu vết của mình, Muneeb đã hỏi một chatbot AI cách xóa nhật ký hệ thống nhằm cố gắng xóa dấu vết của hoạt động. Mặc dù hồ sơ vụ án không tiết lộ công cụ liên lạc cụ thể giữa hai bên nhưng cuối cùng các cơ quan thực thi pháp luật đã thu được bản ghi âm cuộc trò chuyện của họ, trở thành một trong những bằng chứng quan trọng.

Trên thực tế, đây không phải là lần đầu tiên anh em nhà Akhter dính líu đến các vụ án tội phạm mạng liên bang. Trong một vụ án trước đó vào đầu năm 2015, cả hai thừa nhận đã hack vào nhiều trang web, đánh cắp thông tin thẻ tín dụng và cố gắng bán dữ liệu cá nhân trên web đen. Vào thời điểm đó, Sohaib cũng bị cáo buộc âm mưu cùng anh trai và những người khác đánh cắp thông tin cá nhân của đồng nghiệp và bí mật cài đặt các thiết bị phần cứng để giám sát hệ thống chính phủ theo thời gian khi ông đang phục vụ tại Bộ Ngoại giao Hoa Kỳ.

Opexus thừa nhận sau vụ việc rằng mặc dù công ty đã tiến hành kiểm tra lý lịch trong quá trình tuyển dụng nhưng "dường như không đủ kỹ lưỡng" để xác định hồ sơ tội phạm mạng liên bang trong quá khứ của hai anh em. Sai lầm này cùng với việc không thu hồi hoàn toàn tất cả các quyền của tài khoản khi bị sa thải, đã trực tiếp dẫn đến việc xóa và đánh cắp dữ liệu nhạy cảm của chính phủ trên quy mô lớn trong vòng vài giờ.

Về mặt tố tụng tư pháp, Muneeb đã ký thỏa thuận nhận tội trước anh trai mình, nhưng gần đây anh ta bắt đầu nộp đơn lên tòa án để rút lại lời nhận tội bằng thư viết tay khi đang ở trong tù. Trong thư, anh cho rằng luật sư bào chữa cho mình làm việc “không hiệu quả” và bày tỏ mong muốn được ra tòa để bào chữa cho mình. Hướng đi tiếp theo của vụ án vẫn đang chờ phán quyết tiếp theo của tòa án.

Sự cố này nhấn mạnh rằng trong các hệ thống quan trọng liên quan đến dữ liệu của chính phủ, hồ sơ điều tra và quyền riêng tư của công dân, bất kỳ sự giám sát nào trong việc đánh giá việc làm và quản lý tài khoản đều có thể nhanh chóng trở thành sự cố an ninh mạng nghiêm trọng. Đối với các cơ quan chính phủ phụ thuộc vào nhà thầu và dịch vụ của bên thứ ba, làm thế nào để thiết lập các cơ chế bảo mật chặt chẽ và có hệ thống hơn trong tuyển dụng, kiểm tra lý lịch, quản lý thẩm quyền và quy trình từ chức đang trở thành một vấn đề thực tế khó tránh khỏi.