L'interrupteur a été conçu pour déclencher à sa fin
Wtf ?! Il est tentant d'envisager de se venger d'une entreprise pour vous avoir licencié. La création d'un interrupteur de mise à mort qui plante des systèmes et verrouille des milliers d'employés de leurs comptes, par exemple, peut ressembler à une justice douce, mais un développeur qui a mis en œuvre ce plan a été reconnu coupable de sabotage criminel et risque jusqu'à une décennie de prison.
En novembre 2007, Davis Lu, un résident de Houston, a commencé à travailler pour la société de gestion d'électricité Eaton Corporation. Sa vie professionnelle s'est bien déroulée jusqu'en 2018, lorsqu'un réalignement d'entreprise à l'échelle de l'entreprise a vu son rôle réduit. Le changement a inclus ses responsabilités réduites et son accès aux systèmes informatiques de l'entreprise Limited.
Sur la base du compte du DOJ, cela a effrayé Lu en s'inquiétant que l'entreprise puisse éventuellement le laisser partir. Il a donc décidé d'installer des logiciels malveillants sur les systèmes de l'entreprise qui s'activeraient s'il était déclenché.
Le code qu'il a ajouté a créé des boucles infinies (code conçu pour épuiser les threads Java en créant à plusieurs reprises de nouveaux threads sans terminaison appropriée et entraînant des accidents de serveur ou des accrochages), supprimé des fichiers de profil de collègue et implémenté un « commutateur de mise à mort » qui verrouillerait tous les utilisateurs si ses informations d'identification dans le répertoire Active de la société étaient désactivées.
Le code Kill Switch qu'il a ajouté a été nommé « IsdleNabledInad », une abréviation pour « est Davis Lu activé dans Active Directory ». Comme son nom l'indique, il a vérifié que le compte de Lu a été activé dans le Active Directory de la société. Si c'était le cas, rien ne s'est passé.
Le 9 septembre 2019, l'emploi de Lu a été résilié, déclenchant le commutateur de mise à mort qu'il avait créé pour un tel événement. Cleveland.com rapporte qu'elle a causé à la société des centaines de milliers de dollars de pertes et a eu un impact sur des milliers d'utilisateurs à l'échelle mondiale – le siège mondial d'Eaton se trouve à Dublin, en Irlande. Les avocats de la défense de Lu ont fait valoir que l'incident coûtait à l'entreprise moins de 5 000 $.
Lu a également chiffré les données sur son ordinateur portable émis par l'entreprise le jour où il a été invité à éteindre l'appareil et à les retourner. Son histoire de recherche sur Internet a révélé qu'il avait recherché des méthodes pour augmenter les privilèges, masquer les processus et supprimer rapidement des fichiers. Les procureurs disent qu'après son licenciement, Lu a également tenté de trouver des moyens d'empêcher ses collègues de résoudre les problèmes qu'il a causés.
Lu a été inculpé par les procureurs fédéraux en 2021. Après un procès de six jours, il a été reconnu coupable d'un chef d'accusation de dommages intentionnels aux ordinateurs protégés, une accusation qui porte un maximum de 10 ans de prison. Une date de détermination de la peine n'a pas été fixée.
« Malheureusement, Davis Lu a utilisé son éducation, son expérience et ses compétences pour nuire et gêner délibérément non seulement son employeur et leur capacité à mener des affaires en toute sécurité, mais aussi étouffer des milliers d'utilisateurs dans le monde », a déclaré l'agent spécial du FBI en charge Greg Nelsen.
21 commentaires
378 goûts et partages