Hotdry.

Article

Twin brothers 96-database wipe: 从访问撤销缺口到工程级补偿控制

从2025年双胞胎承包商删除96个政府数据库事件,拆解访问撤销时机、批量权限收敛与操作防护缺失三大工程漏洞,给出分钟级凭证撤销、不可变日志与JIT特权的可落地方案。

2026-05-14security

2025 年 2 月 18 日,一场普通的远程解雇会议后,双胞胎兄弟 Sohaib 和 Muneeb Akhter 在数小时内删除了约 96 个美国政府数据库,涵盖 FOIA 记录、敏感调查文件及 IRS 税务数据。这对曾因入侵国务院系统被判刑的兄弟,在服刑后仍被重新雇佣为支持 45 个以上联邦机构的承包商。更具讽刺意味的是,Muneeb 在删除国土安全部数据库仅一分钟后,便向 AI 助手询问 "如何清除系统日志"。

这起案件的核心并非技术高超的入侵,而是权限管理在人员终止场景下的系统性失效。当 "解雇" 这一行政动作与 "访问撤销" 这一技术动作之间存在分钟级延迟时,拥有残留权限的内部人员便获得了完成大规模破坏的时间窗口。

权限模型的三重失效

终止 - 残留访问窗口

传统 offboarding 流程通常以 "当日完成" 为目标,但在本案中,"立即" 意味着解雇会议结束后的数分钟内攻击已经开始。这种延迟源于权限系统的异步收敛特性:SSO 账户禁用后,VPN 会话可能仍保持活跃;数据库原生账户与云控制台权限往往独立于企业身份提供商;共享的管理凭证、服务账户令牌、API 密钥更是游离于标准 IAM 流程之外。

当攻击者拥有跨 45 个机构的系统访问权限时,每一个未同步撤销的凭证都成为潜在的攻击向量。

批量权限收敛失败

96 个数据库的删除规模揭示了权限管理的另一个盲区:缺乏针对 "批量破坏性操作" 的收敛机制。在典型的权限模型中,读取与删除往往共享同一套权限检查逻辑,系统无法区分正常的单表维护与恶意的批量擦除。当攻击者拥有足够宽泛的数据库管理员权限时,DROP DATABASE 命令与 SELECT 查询在权限层面并无本质区别。

更危险的是,兄弟俩还执行了 "write-protect" 操作,防止其他管理员在删除前修改数据库,这种 "防御性破坏" 表明攻击者对系统权限模型有深入理解。

单人破坏性操作

案件中最能体现权限设计缺陷的细节是:整个过程由两人独立完成,无需任何第二人审批或确认。在涉及不可逆操作(如数据库删除、日志清除、备份保留策略修改)的场景下,缺乏双人控制(Two-Person Control)或职责分离(Separation of Duties)意味着单个被攻破或恶意的身份即可造成灾难性后果。

工程级补偿控制设计

针对上述三重失效,以下是可落地的工程补偿控制方案,按实施优先级排序。

分钟级凭证撤销 SLA

将 "当日完成" 的 offboarding 目标压缩至分钟级:

  • T+0(解雇决定瞬间):IdP/SSO 立即禁用用户账户,撤销所有活跃会话与刷新令牌
  • T+2 分钟:VPN/ZTNA 会话强制终止,特权访问管理(PAM)系统回收所有已签出凭证
  • T+5 分钟:云控制台 IAM、数据库原生账户、服务账户密钥同步失效或轮换
  • T+10 分钟:共享管理凭证(如 DB admin 密码)完成紧急轮换

实现这一 SLA 的关键是建立 "终止事件" 的标准化 webhook 流:HR 系统在解雇确认瞬间触发,自动推送至 IdP、PAM、云 IAM 及数据库权限系统,而非依赖人工工单流转。

不可变日志架构

攻击者在删除数据库后立即尝试清除日志,这暴露了传统日志架构的根本缺陷:审计数据与业务数据位于同一信任域内。工程级解决方案要求:

  • 日志转发:OS、数据库、应用层审计日志在生成后秒级转发至独立 SIEM 或日志平台,本地仅保留缓存
  • 不可变存储:采用 WORM(Write Once Read Many)或对象存储版本锁定机制,确保日志条目一旦写入即无法修改或删除
  • 职责分离:日志平台的 admin 权限与业务系统的 admin 权限严格分离,避免 "既管数据又管审计" 的单点风险
  • 外部验证:即使本地日志被清除,仍可通过 IdP、VPN、EDR、云控制平面日志进行交叉验证

双人控制与 JIT 特权

对于不可逆的高风险操作,实施 "最小可行特权"(Minimum Viable Privilege)与 "即时特权"(Just-In-Time):

  • 默认只读:承包商账户默认仅拥有读取权限,删除、修改保留策略等操作需临时申请
  • 时间窗口:JIT 特权有效期以分钟计(如 30 分钟),过期自动回收
  • 双人审批:DROP、TRUNCATE 等破坏性操作需第二人审批,审批与执行角色分离
  • 会话录制:特权会话全程录制屏幕与命令输入,实时告警异常行为模式(如批量 DELETE、权限变更)

删除防护与软删除

在数据库层实施 "删除即事故" 的防护思维:

  • 软删除优先:业务表统一实现软删除(标记删除 + 回收站机制),物理删除延迟 7-30 天
  • DROP 审批流:生产环境 DROP DATABASE/TABLE 操作需走变更审批,支持紧急冻结机制
  • 备份保护:备份删除操作使用独立凭证,支持 MFA 与延迟执行(如 24 小时后生效),期间可取消

周一早晨检查清单

对于安全负责人,以下六项检查可在 30 分钟内启动:

  1. 系统清单:列出所有身份系统(IdP、VPN、PAM、数据库、云平台)及其账户生命周期管理机制
  2. 终止演练:选择一名测试账户,计时完成全系统访问撤销,记录瓶颈环节
  3. 特权审计:识别所有拥有 "不可逆操作" 权限的角色(DBA、备份管理员、云管理员)
  4. 日志验证:确认审计日志实时转发至独立平台,且平台 admin 与业务 admin 角色分离
  5. 恢复测试:基于定义的 RPO/RTO 执行季度恢复演练,验证备份可用性
  6. IR 预案:更新内部威胁响应流程,包含 "立即冻结访问"、"证据保全"、"设备回收检查" 等触发条件

从 "解雇即终点" 到 "零信任离职"

Twin brothers 事件最深刻的教训在于:人员终止不应被视为信任关系的终点,而应被视为风险暴露的最高点。在远程工作普及、云权限复杂化的今天,"解雇" 与 "访问撤销" 之间的时间差已成为攻击者利用的确定性窗口。

工程级防护的核心不是信任,而是假设:假设被终止人员可能立即尝试破坏,假设凭证可能已被共享或泄露,假设日志可能被清除。在此假设下,分钟级撤销、不可变审计、双人控制不再是 "过度工程",而是防止 96 个数据库消失的基本防线。

参考来源

  • BleepingComputer, "Contractors with hacking records accused of wiping 96 govt databases", December 2025
  • Cloaked Security Analysis, "Could Your Agency Stop an Insider Threat Before 96 Databases Get Wiped?"

security

内容声明:本文无广告投放、无付费植入。

如有事实性问题,欢迎发送勘误至 i@hotdrydog.com