前外包员工泄愤报复：重置2500个账号致企业损失86万美元

倘若论及网络攻击中哪种形式最难以防范、最令人头痛，那大概率并非勒索软件、APT组织，也非零日漏洞，而是——你曾经的同事。

2021年5月，美国休斯敦发生的一起内部员工攻击事件，直至近期随着法院审理推进才完全浮出水面：一家业务遍布全美的大型企业，在短短几分钟内被瞬间打回“未激活状态”，直接经济损失高达86.2万美元（约合人民币613万元），并引发业务连续性危机。

而此事的始作俑者，仅是一名被解雇的IT外包人员。

外包被辞退后，竟轻易重返内网

根据美国司法部（DOJ）文件，这名IT外包人员名叫Maxwell Schultz，现年35岁，来自俄亥俄州，曾以合同工身份为某大型企业的IT部门提供技术支持。尽管DOJ未直接点名，但多家地方媒体推测，该公司正是美国废物管理公司Waste Management（简称WM）。

2021年5月14日，时年31岁的Maxwell Schultz与原公司终止合作，其账号权限也按流程立即被撤销。

照理讲，故事到这里就该结束了：毕竟一般情况下，企业在解雇员工或外包人员时，会同步完成账号权限回收与系统级权限吊销；然而，现实中的企业安全管理往往并不“照理讲”。

如今，大型企业的权限回收流程常常依赖人工操作、跨部门协调复杂，执行中极易出错，而外包权限的控制更是众多公司公认的“管理盲区”。一旦权限回收流程不彻底、身份验证机制存在疏漏，攻击者便能轻易重返网络内部——Maxwell Schultz正是钻了这个空子。

被解雇后不久，Maxwell Schultz凭借对内部系统架构的熟悉，假冒另一名外包人员，骗取了新的网络登录凭证，重新潜入公司的网络系统。

一条PowerShell脚本，引爆大规模“账号失效”

重新进入系统后，Maxwell Schultz并未实施复杂的渗透，也没有部署恶意程序，而是选择了一种更直接、更具破坏力的方式：运行一段PowerShell脚本，一键重置了约2500个账号的密码。

法院文件披露，这段脚本由Maxwell Schultz自行编写，调用了Windows企业环境极为常用的命令行接口。脚本执行后，WM全公司范围内：

● 所有员工与外包人员的电脑被强制离线

● 任何登录尝试均告失败

● 从客户服务部门到现场运维团队，所有业务瞬间瘫痪

可想而知，这对一家业务覆盖全美的大型企业意味着什么——所有依赖内部系统的工作流程同步停滞，业务连续性瞬间被打断。而这，仅仅是几行PowerShell代码带来的后果。

为了掩饰自己的行径，事后Maxwell Schultz还上网搜索了如何清除系统日志，并成功删除了多条PowerShell事件记录。尽管未能完全抹掉痕迹，但这显著增加了事后的取证难度。

员工停工、客服中断，企业损失逾86万美元

司法部公布的信息显示，此次Maxwell Schultz的攻击造成86.2万美元以上的损失，主要源于三个方面：

（1）大量员工无法工作：数千名员工因无法登录电脑，自然无法开展任何与系统相关的操作，而企业每天支付的工资成本却不会因此停止。

（2）客户服务体系瘫痪：Waste Management的客服体系严重依赖内部工单与处理系统，密码被重置后，客服无法访问后台，导致服务中断。

（3）恢复网络的人工成本：这包括重新建立账号、恢复系统、整理日志、排查可能的附加破坏等所有技术工作。而大规模权限恢复对IT团队而言，往往意味着几天甚至数周的加班。

以上这些，还不算公司声誉损失、合同延误等长远成本。一位参与事件调查的工程师描述：“这是普通技术人员想不到的攻击方式，但对熟悉内部结构的人来说，简单到令人后怕。”

动机只有一个：“被开除而不爽”

面对DOJ的调查，Maxwell Schultz承认了自己的动机：“因为被解雇而不爽。”

没错，他并非为了勒索，也不是受人指使，更没有复杂的攻击流程，纯粹就是为了泄愤。

目前，该案件已转交至美国联邦地区法院，预计2026年1月30日宣判，届时Maxwell Schultz可能面临最高10年联邦监禁外加25万美元罚金。

针对此事，网络安全专家强调，这类因不满被解雇而发起的“内鬼攻击”（insider threat）正在迅速增多，尤其是在能源和科技行业这类依赖外包且外包人员权限较高的领域。美国网络安全与基础设施安全局（CISA）也多次警示企业，要对前员工、前外包人员的权限回收极度关注。

毕竟，类似的“内鬼攻击”事件可谓屡见不鲜。例如，今年5月美国最大加密货币交易所Coinbase遭遇内鬼串通黑客勒索2000万美元，致使平台深层管理漏洞暴露，亏损逾4亿美元；去年5月，FinWise银行也因前员工窃取数据引发近70万用户信息外泄。

难道你认为这些公司的安全管理机制不完善吗？事实上，多数公司都会注重防火墙、入侵探测、勒索软件防御，但往往忽视了“人”——尤其是那些曾拥有较高权限、了解内部流程、并熟知系统薄弱点的工程师。

而他们要发动攻击，甚至无需太高深的技术，只要情绪管理失败，就能用最简单的方式造成最严重的破坏。

参考链接：https://www.justice.gov/usao-sdtx/pr/former-contractor-admits-hacking-employer-retaliation-termination