程序员被裁后删库报复：一键重置致公司损失超600万

说起网络安全领域中最令人头疼、也最难防范的威胁，或许并非勒索病毒或APT组织，甚至也不是零日漏洞，而可能是——你曾经的同事。

免费影视、动漫、音乐、游戏、小说资源长期稳定更新！ 👉 点此立即查看 👈

2024年5月发生在美国休斯顿的一起内部员工攻击事件，直到最近法院审理推进才完全曝光：这家业务覆盖美国全国的大型企业，在短短几分钟内就被强制打回“未激活状态”，直接损失高达86.2万美元（约合人民币613万元），并且触发了业务连续性危机。

而引发这一切的，仅仅是一名被开除的IT外包人员。

外包被解雇后，竟轻易重返内网

根据美国司法部（DOJ）披露的文件，这位名叫Maxwell Schultz的IT外包人员现年35岁，来自美国俄亥俄州，曾作为合约工为一家大型企业的IT部门提供技术支持。尽管司法部未直接点名是哪家企业，但多家地方媒体推测，这很可能就是美国废物管理公司Waste Management（简称WM）。

2024年5月14日，当时31岁的Maxwell Schultz被原公司解除合约，账号权限也按理应立即撤销。

照理说，故事到这里就该结束：毕竟一般而言，公司在解雇员工或外包时，会同步完成账号权限回收与系统级权限吊销。然而，现实中的企业安全管理却往往并不会如此“按部就班”。

如今，大型企业的权限回收流程通常依赖人工操作、跨部门沟通复杂，执行容易出错。而外包权限的控制，更是众多公司公认的“管理盲区”。一旦权限回收不彻底、身份验证机制存在疏漏，攻击者便能轻易重返网络内部——Maxwell Schultz正是钻了这个空子。

被解雇不久后，Maxwell Schultz利用自己熟悉内部系统架构的优势，冒用另一名外包人员的身份，骗取了新的网络登录凭证，重新进入公司的网络系统。

一条PowerShell脚本，引发大规模“账号失效”

重新进入系统后，Maxwell Schultz并未进行复杂的渗透，也没有部署恶意程序，而是选择了一个更直接、影响更广的方式：运行一段PowerShell脚本，一键重置了近2500个账户的密码。

法院文件披露，这段脚本是Maxwell Schultz自己编写的，调用的正是Windows企业环境中极为常见的命令行接口。脚本执行后，WM公司范围内：

○ 所有员工与外包的电脑被统一踢下线

○ 任何登录尝试全部失败

○ 从客户服务部门到现场运维团队，所有业务瞬间停摆。

可以想象，这对一家在美国全国布局的大型企业意味着什么——所有依赖内部系统的工作流程同步冻结，业务连续性在瞬间被打断。而这，仅仅源于几行PowerShell代码的威力。

为了掩盖自己的行为，事后Maxwell Schultz还上网搜索了如何删除系统日志，并成功清除了多条PowerShell事件记录。尽管未能完全抹掉痕迹，但这也大幅提升了事后的取证难度。

员工停工、客服中断，企业损失超86万美元

司法部公布的信息显示，Maxwell Schultz的此次攻击造成86.2万美元以上的损失，主要来自三方面：

（1）大量员工停工：数千名员工无法登录电脑，自然无法开展任何与系统相关的操作，可企业每天支付的薪酬成本并不会因此暂停。

（2）客户服务体系瘫痪：Waste Management的客服体系高度依赖内部工单与处理系统，密码被重置后，客服无法访问后台系统，导致服务中断。

（3）恢复网络的人工成本：这包括重新建立账号、恢复系统、梳理日志、排查可能的额外破坏等所有技术行为。而对IT团队来说，大规模权限恢复往往意味着数日甚至数周的加班。

这还不包括公司名誉影响、合同延误等长期成本。某位参与事件调查的工程师形容：“这是普通技术人员想不到的攻击方式，但对熟悉内部结构的人来说，它简单到令人害怕。”

动机只有一个：“被开除而不爽”

面对DOJ的调查，Maxwell Schultz坦白了动机：“因为被解雇而不爽。”

是的，他不是为了勒索，也不是被人指使，更没有复杂的攻击流程，纯粹就是为了泄愤。

目前，该案件已移交至美国联邦地区法院，预计2026年1月30日宣判，届时Maxwell Schultz可能面临最高10年联邦监禁 + 25万美元罚款。

针对此事，网络安全专家指出，这类因不满被解雇而发起的“内部威胁攻击”（insider threat）正在快速增加，尤其是像能源和科技行业这种依赖外包、且外包人员权限较高的领域。美国网络安全与基础设施安全局（CISA）也多次提醒企业，要重视对前雇员、前外包人员的权限回收。

毕竟，类似的“内鬼攻击”事件可谓层出不断。例如，今年5月美国最大加密货币交易所Coinbase遭遇内鬼勾结黑客勒索2000万美元，导致平台深层漏洞暴露，损失超4亿美元；去年5月，FinWise银行也因前员工窃取数据导致近70万用户信息泄露。

你能说这些公司的安全管理机制不完善吗？实际上，多数公司都会关注防火墙、入侵检测、勒索软件防护，但往往忽略了“人”——尤其是那些曾拥有较高权限、了解内部流程、并深知系统弱点的工程师。

而他们要发起攻击，并不需要太高级的技术，只要情绪失控，就能用最简单的方式造成最严重的后果。

参考链接：https://www.justice.gov/usao-sdtx/pr/former-contractor-admits-hacking-employer-retaliation-termination