Сисадмин в день увольнения вывел из строя компанию

Увольнение Джо Вито Вензора Бывший системный администратор, который в день своего увольнения остановил сервер компании-работодателя, признал себя виновным в суде.41-летний Джо Вито Вензоре (Joe Vito Venzor) вплоть до сентября 2016 г. работал инженером службы технической поддержки в компании Lucchese Bootmaker, которая находится в техасском городе Эль Пасо и производит ковбойские сапоги с 1883 г. Утром 1 сентября 2016 г. около 10:30 по местному времени, Вензор узнал, что уволен. Судебные документы свидетельствуют, что «неуравновешенного» мужчину около часа не могли выдворить из здания. Как показало следствие, уже около 11:30 Вензор воспользовался потайным аккаунтом, который был создан им в корпоративной сети на имя elplaser, и обрушил серверы почты и приложений компании. Вензоре был арестован 7 октября 2016 г. Позднее его освободили под залог в размере $10 тыс. После признания Вензора ожидает приговор, который будет вынесен 6 июня. Ему грозит до 10 лет лишения свободы и штраф на сумму до $250 тыс. Что именно сделал обиженный сисадмин Обрушенные серверы отвечали за обработку заказов, поступающих от клиентов, а также за производственную линию, склад и центр дистрибуции. После того, как они рухнул, на фабрике Lucchese Bootmaker остановилось производство. ИТ-отдел попытался вернуть серверы в рабочее состояние. После трех часов напрасных попыток руководство отпустило 300 работников фабрики по домам. Отгрузка товара в центре дистрибуции была остановлена, из-за чего компания потеряла около $100 тыс. выручки, не считая убытков от простоя производства. http://filearchive.cnews.ru/img/zoom/2017/03/31/admin600_1.jpg"> Уволенный сисадмин остановил производство ковбойских сапогов, существующее с 1883 г. По словам ИТ-отдела компании, серверы почты и приложений невозможно было восстановить, поскольку Вензор еще и удалил основные системные файлы, критически важные для запуска. Кроме того, он заблокировал учетные записи своих коллег, изменив их пароли. В результате Lucchese Bootmaker обратилась за помощью к сторонним специалистам. Сервер восстановили, но компания потратила несколько недель, чтобы наверстать упущенные заказы и разогнать производство. Вензору же на всю процедуру потребовалось около 45 минут. Как вычислили преступника Вычислить злоумышленника помогло то, что он плохо замел следы. Поскольку увольнение Вензора сразу же связали с атакой, компания и правоохранительные органы решили проверить его рабочий аккаунт. Там они обнаружили текстовый файл, в котором хранилась коллекция логинов и паролей сотрудников Lucchese Bootmaker. Этот файл был отправлен сисадмином с рабочей почты на личную. Порядок, в котором были перечислены логины и пароли в документе Вензора, совпадал с порядком, в котором неизвестный злоумышленник менял пароли во время атаки. Кроме того, потайной аккаунт elplaser использовался преступником и ранее. Со стороны он выглядел как офисный лазерный принтер. Записи указывали та то, что вход в elplaser осуществлялся с рабочего компьютера Вензора, защищенного паролем. ИТ-отдел заблокировал потайной аккаунт, чтобы избежать дальнейших проникновений.[img]http://filearchive.cnews.ru/img/zoom/2017/03/31/admin600_1.jpg"> Уволенный сисадмин остановил производство ковбойских сапогов, существующее с 1883 г. По словам ИТ-отдела компании, серверы почты и приложений невозможно было восстановить, поскольку Вензор еще и удалил основные системные файлы, критически важные для запуска. Кроме того, он заблокировал учетные записи своих коллег, изменив их пароли. В результате Lucchese Bootmaker обратилась за помощью к сторонним специалистам. Сервер восстановили, но компания потратила несколько недель, чтобы наверстать упущенные заказы и разогнать производство. Вензору же на всю процедуру потребовалось около 45 минут. Как вычислили преступника Вычислить злоумышленника помогло то, что он плохо замел следы. Поскольку увольнение Вензора сразу же связали с атакой, компания и правоохранительные органы решили проверить его рабочий аккаунт. Там они обнаружили текстовый файл, в котором хранилась коллекция логинов и паролей сотрудников Lucchese Bootmaker. Этот файл был отправлен сисадмином с рабочей почты на личную. Порядок, в котором были перечислены логины и пароли в документе Вензора, совпадал с порядком, в котором неизвестный злоумышленник менял пароли во время атаки. Кроме того, потайной аккаунт elplaser использовался преступником и ранее. Со стороны он выглядел как офисный лазерный принтер. Записи указывали та то, что вход в elplaser осуществлялся с рабочего компьютера Вензора, защищенного паролем. ИТ-отдел заблокировал потайной аккаунт, чтобы избежать дальнейших проникновений.