Ex-gerente de TI se declara culpado por atacar rede de escola secundária
19 de Dezembro de 2023

Conor LaHiff, ex-gerente de TI de uma escola pública de New Jersey, admitiu ter cometido um ataque cibernético contra seu ex-empregador após o término de seu emprego em junho de 2023.

Na semana passada, o Departamento de Justiça dos EUA (DOJ) anunciou que LaHiff se declarou culpado de um ato de dano não autorizado a computadores protegidos, violando a Lei de Fraude e Abuso de Computadores (CFAA).

O anúncio do DOJ descreve o ataque cibernético como um ato de retaliação, visando especificamente contas da Apple e de administradores de TI para causar danos e interrupções às operações da escola.

"Após ser demitido, LaHiff usou seus privilégios administrativos para desativar e deletar milhares de Apple IDs da conta do Apple School Manager da escola - software usado para gerenciar recursos de tecnologia da informação de estudantes, professores e equipe", lê-se no anúncio do DOJ dos EUA.

"LaHiff também desativou mais de 1.400 outras contas da Apple e outras contas administrativas de TI e desabilitou o sistema telefônico da escola, o que deixou o serviço de telefone da escola indisponível por aproximadamente 24 horas."

De acordo com documentos judiciais publicados, LaHiff realizou as seguintes ações após o término de seu emprego:

Deletou 1.200 Apple IDs da conta do Apple School Manager da escola

Desativou mais de 1.400 outras contas da Apple

Tentou desconectar Apple Class IDs, Course IDs, Location IDs e Person IDs da conta do Apple School Manager da escola.

Desativou contas administrativas, incluindo contas em fornecedores de segurança.

Desabilitou o serviço telefônico da escola

O anúncio diz que as ações de LaHiff causaram um prejuízo financeiro direto de pelo menos 5.000 dólares para a escola.

Este é mais um caso de um ex-colaborador insatisfeito usando seu acesso de alto nível não revogado para causar danos às redes críticas por despeito.

O simples ato de coordenar decisões de recursos humanos com ações do departamento de TI, como revogar o acesso à conta de pessoal demitido, mitigaria significativamente tais riscos.

Curiosamente, apesar de suas ações, LaHiff já havia assumido uma posição semelhante em outra escola pública, que o juiz está exigindo que LaHiff notifique sobre a confissão de culpa.

LaHiff está programado para ser sentenciado em 20 de março de 2024, e enfrenta uma pena máxima potencial de 10 anos de prisão e multas de até 250 mil dólares.

Publicidade

Curso gratuito de Python

O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...