Facepalm: Provavelmente acontece com mais frequência do que o relatado. Um funcionário é demitido. A empresa se esquece de tomar as devidas precauções. O trabalhador descontente então se vinga [insert unethical or illegal act]. As ações do ex-funcionário são imperdoáveis, mas de quem é a culpa quando o empregador poderia ter tomado precauções simples para evitar a vingança e os danos em primeiro lugar?
Um ex-funcionário de uma empresa financeira sem nome com sede no Havaí se vingou de seu empregador sabotando a rede da empresa. Casey Umetsu trabalhou como administrador de TI antes de ser demitido em 2019.
O Departamento de Justiça dos EUA observa que seu papel na empresa lhe permitiu acessar o painel de administração on-line do domínio de internet da rede. Após ser demitida, a empresa não conseguiu revogar suas credenciais, permitindo que Umetsu acessasse e alterasse as configurações para redirecionar o tráfego de e-mail e da Internet para sistemas externos.
O ato efetivamente apagou a presença da empresa na web e tornou os e-mails internos e externos inacessíveis por vários dias. Umetsu também alterou as credenciais do sistema, de modo que os administradores atuais não puderam corrigir a situação. Os executivos não conseguiam nem descobrir quem havia comprometido seus sistemas até que o FBI conduzisse uma investigação.
Umetsu se declarou culpado diante do juiz do Tribunal Distrital de Honolulu, Jill Otake, alegando que estava tentando fazer com que a empresa o contratasse por um salário mais alto.
“Umetsu abusou criminalmente dos privilégios de acesso especiais concedidos a ele por seu empregador para interromper suas operações de rede para ganho pessoal”, disse a procuradora Clare E. Connors. “Aqueles que comprometerem a segurança de uma rede de computadores – seja governamental, empresarial ou pessoal – serão investigados e processados, incluindo o pessoal de tecnologia cujo acesso foi concedido pela vítima”.
Por mais ridícula e engraçada que seja a desculpa do homem, é difícil não olhar para a falta de higiene de segurança adequada de seu ex-empregador e rir da mesma forma. É muito simples e rotineiro revogar os privilégios dos funcionários demitidos. Para a maioria das empresas, é procedimento operacional padrão ressegurar os sistemas antes que o trabalhador demitido seja escoltado para fora do prédio. Não justifica as ações de Umetsu, mas ilustra como a empresa poderia ter evitado o incidente inteiramente praticando higiene básica de segurança.
O DoJ não listou as acusações específicas das quais Umetsu se declarou culpado, mas ele enfrenta uma pena máxima de 10 anos de prisão e uma multa de US$ 250.000 se o juiz Otake estiver de mau humor durante sua audiência de sentença. Ela decidirá o destino de Umetsu em 19 de janeiro de 2023.
Crédito da imagem: CIPHR Connect