18 февраля 2025 года в 16:50 завершилась встреча в Microsoft Teams, на которой братьям Мунибу и Сохайбу Ахтер сообщили об увольнении. В 16:56 Муниб уже был в правительственной системе. В 16:58 выполнена команда DROP DATABASE dhsproddb — уничтожена база Министерства внутренней безопасности США. К концу часа счёт достиг 96 правительственных баз данных. Параллельно Муниб консультировался у ИИ-инструмента, как затереть логи SQL-сервера. Запись встречи в Teams всё это время не останавливалась.
Контекст
Муниб и Сохайб Ахтер — не случайные люди с улицы. В 2015 году оба отбыли реальные сроки за взлом систем Госдепартамента США и кражу персональных данных: Муниб — 39 месяцев, Сохайб — 24 месяца. После освобождения им удалось устроиться в IT-компанию, предположительно Opexus — вашингтонского подрядчика, обслуживающего более 45 федеральных ведомств. Судимости всплыли только в феврале 2025-го, компания немедленно инициировала увольнение.
Сохайб включил запись встречи ещё до того, как HR сообщил новость — вероятно, чтобы зафиксировать свою версию событий. HR-сотрудники объявили об увольнении и вышли из сессии через две с половиной минуты. Ахтеры не выключили запись. Teams честно писал следующий час: обсуждение плана, вход в системы, DROP-команды, консультацию с ИИ, копирование данных на USB.
Помимо удалённых баз, Муниб скопировал 1805 файлов Комиссии по равным возможностям трудоустройства на USB-накопитель, скачал налоговые данные не менее 450 человек, а также получил файл с 1,2 млн строк персональных данных — имена, адреса, телефоны, хеши паролей. Братьев арестовали в декабре 2025 года. Сохайбу грозит до 21 года, Мунибу — до 45 лет.
Аналитика
Кейс поднимает три отдельных проблемы, которые существуют независимо друг от друга. Первая — скорость отзыва доступов. Восемь минут от конца Teams-звонка до первого DROP. Это не баг конкретной компании — это системная норма для организаций, где IAM не интегрирован с HR-системой. Де-провижининг вручную занимает столько же времени, сколько нужно для атаки. Для критичных систем это неприемлемо.
Вторая — ИИ как инструмент атаки в реальном времени. Муниб прямо во время инцидента спросил у ИИ-инструмента, как уничтожить следы. Это первый публично задокументированный случай из тех, что дошли до суда, где LLM использовался для operationalized cover-up. Для индустрии это сигнал: операционная безопасность злоумышленников теперь усилена теми же инструментами, что используют защитники. Порог знаний для сокрытия следов снизился.
Третья — масштаб утечки данных вышел далеко за рамки саботажа. 1,2 млн строк с хешами паролей — это уже не история про месть работодателю. Для регуляторов это нарушение с прямыми последствиями для граждан. В контексте казахстанского Цифрового кодекса №178 или GDPR такой инцидент означал бы обязательное уведомление регулятора в течение 72 часов и потенциально катастрофические штрафы для подрядчика.
Кейсы применения в бизнесе
B2B-SaaS стартап (10–50 человек). Один DevOps-инженер держит доступ к production БД, staging, CI/CD и облачной консоли. Уволить без предварительной ротации — значит оставить окно уязвимости. Что внедрить: автоматический offboarding-workflow — в момент закрытия HR-тикета скрипт через API отзывает права в AWS IAM, GitHub, Vercel, production БД одновременно. Окно сокращается с десятков минут до секунд. Это один день работы DevOps.
Корпорация с legacy-инфраструктурой. Системы добавлялись органически, у каждого отдела свой IAM. Единого провижининга нет. Что внедрить: ежеквартальный аудит привилегированных учётных записей по принципу минимальных привилегий — и интеграцию HR-системы с каталогом идентификаций так, чтобы статус «уволен» каскадировался во все downstream системы автоматически, без участия сисадмина.
IT-подрядчик в КР/СНГ, работающий с госструктурами или крупным бизнесом. Доступы к клиентским системам часто хранятся у конкретных людей без формальных процедур. Что внедрить прямо сейчас: командный password manager (Bitwarden Teams или аналог), журнал доступов к клиентским системам, обязательная ротация credentials при любом изменении состава команды. По Цифровому кодексу КР это уже не рекомендация — это требование при работе с персональными данными.
Кейсы в личной жизни
Разработчик или фрилансер. Заканчиваете проект — проверьте, что ваши личные SSH-ключи и токены удалены с серверов клиента. И наоборот: нанимаете подрядчика — не давайте личный root, создавайте отдельные service-account с минимальными правами. После окончания работ — немедленная ротация всех выданных credentials.
Системный администратор или DevOps. Настройте алерты на аномальную активность: массовые DDL-команды (DROP, TRUNCATE) в production, экспорт больших объёмов данных, доступ в нерабочее время. PostgreSQL с pgaudit или MySQL с general_log — это бесплатно, настраивается за 15 минут и ловит DROP DATABASE раньше, чем он завершится, если алерт настроен заранее.
Студент, изучающий ИБ. История Ахтеров — учебный пример того, что системы пишут историю за вас: Teams-запись, SQL audit trail, логи IAM. Digital footprint и судимости преследуют карьеру годами. Изучайте, как работают системы аудита — это ценный скилл и в наступательной, и в защитной безопасности.
Как применить сегодня
- Засеките время: сколько займёт полный отзыв доступов при увольнении DevOps-инженера прямо сейчас? Если больше 5 минут — это ваш главный риск.
- Включите аудит DDL-команд в production БД: PostgreSQL —
pgaudit, MySQL —general_log. Займёт 15 минут, стоит ноль. - Настройте алерт на DROP/TRUNCATE в production через pg_notify, CloudWatch Events или любой доступный SIEM.
- Ревизия всех активных credentials подрядчиков прямо сейчас — отозвать всё, что не используется активно.
- Приложение в production не должно иметь права DROP DATABASE — применяйте принцип минимальных привилегий на уровне ролей БД.