Conor LaHiff, ex-gerente de TI de uma escola pública de New Jersey, admitiu ter cometido um ataque cibernético contra seu ex-empregador após o término de seu emprego em junho de 2023.
Na semana passada, o Departamento de Justiça dos EUA (DOJ) anunciou que LaHiff se declarou culpado de um ato de dano não autorizado a computadores protegidos, violando a Lei de Fraude e Abuso de Computadores (CFAA).
O anúncio do DOJ descreve o ataque cibernético como um ato de retaliação, visando especificamente contas da Apple e de administradores de TI para causar danos e interrupções às operações da escola.
"Após ser demitido, LaHiff usou seus privilégios administrativos para desativar e deletar milhares de Apple IDs da conta do Apple School Manager da escola - software usado para gerenciar recursos de tecnologia da informação de estudantes, professores e equipe", lê-se no anúncio do DOJ dos EUA.
"LaHiff também desativou mais de 1.400 outras contas da Apple e outras contas administrativas de TI e desabilitou o sistema telefônico da escola, o que deixou o serviço de telefone da escola indisponível por aproximadamente 24 horas."
De acordo com documentos judiciais publicados, LaHiff realizou as seguintes ações após o término de seu emprego:
Deletou 1.200 Apple IDs da conta do Apple School Manager da escola
Desativou mais de 1.400 outras contas da Apple
Tentou desconectar Apple Class IDs, Course IDs, Location IDs e Person IDs da conta do Apple School Manager da escola.
Desativou contas administrativas, incluindo contas em fornecedores de segurança.
Desabilitou o serviço telefônico da escola
O anúncio diz que as ações de LaHiff causaram um prejuízo financeiro direto de pelo menos 5.000 dólares para a escola.
Este é mais um caso de um ex-colaborador insatisfeito usando seu acesso de alto nível não revogado para causar danos às redes críticas por despeito.
O simples ato de coordenar decisões de recursos humanos com ações do departamento de TI, como revogar o acesso à conta de pessoal demitido, mitigaria significativamente tais riscos.
Curiosamente, apesar de suas ações, LaHiff já havia assumido uma posição semelhante em outra escola pública, que o juiz está exigindo que LaHiff notifique sobre a confissão de culpa.
LaHiff está programado para ser sentenciado em 20 de março de 2024, e enfrenta uma pena máxima potencial de 10 anos de prisão e multas de até 250 mil dólares.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...