أصبحت حالة القرصنة التي حدثت داخل أحد مقاولي الحكومة الفيدرالية الأمريكية مثالًا سلبيًا على أمن المعلومات ومراجعة الموظفين. في الآونة الأخيرة، أدانت هيئة محلفين فيدرالية الأخوين التوأم صهيب أختر ومنيب أختر، البالغ من العمر 34 عامًا، أو أقرا بالذنب مقدمًا لحذف قواعد بيانات الحكومة الفيدرالية بشكل ضار وإجراء أنشطة القرصنة ذات الصلة بعد طردهما.
ووفقا للمعلومات الصادرة عن وزارة العدل الأمريكية، وجدت هيئة محلفين مؤخرا أن صهيب أختر مذنب بتهمة التآمر لارتكاب عمليات احتيال حاسوبية وإعادة بيع كلمات المرور، في حين أن شقيقه منيب كان قد اعترف في السابق بالمشاركة في أعمال ذات صلة من خلال اتفاق الإقرار بالذنب. وقع الحادث بعد أن تم فصل الزوجين من وظيفتيهما من قبل شركة Opexus التابعة للحكومة الفيدرالية، والتي تقدم خدمات لأكثر من 45 وكالة حكومية وتستضيف معلومات حساسة بما في ذلك البيانات المتعلقة بقانون حرية المعلومات (FOIA) وملفات التحقيق الفيدرالية.
تظهر القضية أن Opexus أبلغت الزوجين بفصلهما عبر مؤتمر عبر الفيديو في فبراير من العام الماضي بعد أن اكتشفت الشركة أن لديهما إدانات فيدرالية بارتكاب جرائم إلكترونية يعود تاريخها إلى عام 2015، وهي خلفية رئيسية لم يتم التعرف عليها بالكامل أثناء التوظيف الأولي. وعلى الرغم من أن الشركة زعمت أنها أجرت "فحوصات خلفية واسعة النطاق" للرجلين، إلا أنها فشلت على ما يبدو في البحث في سجلات القرصنة السابقة الخاصة بهما، وقد مهد هذا الإغفال الطريق لهجمات داخلية خطيرة لاحقة.
وفي غضون دقائق من حصولهم على البطاقة الوردية، بدأ الأخوان في استهداف بيانات الشركات والحكومة. وكشف التحقيق أنه خلال ساعات قليلة، قام منيب بحذف ما يقرب من 96 قاعدة بيانات تحتوي على بيانات طلب قانون حرية المعلومات والوثائق المتعلقة بالتحقيقات الفيدرالية. وفي الوقت نفسه، قام أيضًا بإغلاق حسابات المستخدمين الأخرى، مما منع الوصول العادي إلى النظام.
والأمر الأكثر إحراجًا هو أن Opexus قطعت فقط وصول صهيب إلى النظام في الوقت المناسب أثناء عملية الإنهاء، لكنها "نسيت" أن تفعل الشيء نفسه مع حساب منيب. وفي غضون ست دقائق من إخطاره بإنهاء عمله، بدأ منيب في حظر المستخدمين الآخرين وحذف قواعد البيانات، قبل سرقة 1805 مستندًا إضافيًا من لجنة تكافؤ فرص العمل (EEOC) ومعلومات الضرائب الفيدرالية لأكثر من 450 شخصًا.
وعندما أعاد المحققون بناء الحادثة، وجدوا أن "المستوى الفني" للأخوين لم يكن متطورًا مثل مستوى المتسللين المحترفين. بعد حذف قاعدة البيانات، من أجل إخفاء آثاره، سأل منيب روبوت الدردشة الذي يعمل بالذكاء الاصطناعي عن كيفية مسح سجلات النظام في محاولة لمحو آثار العملية. ورغم أن ملف القضية لم يكشف عن أدوات الاتصال المحددة بين الطرفين، إلا أن جهات إنفاذ القانون حصلت في النهاية على سجلات نصية لمحادثاتهما، والتي أصبحت أحد الأدلة المهمة.
في الواقع، هذه ليست المرة الأولى التي يتورط فيها الأخوان أختر في قضية جرائم إلكترونية فيدرالية. وفي قضية سابقة في وقت مبكر من عام 2015، اعترف الاثنان باختراق مواقع ويب متعددة وسرقة معلومات بطاقة الائتمان ومحاولة بيع البيانات الشخصية على الويب المظلم. وفي ذلك الوقت، اتُهم صهيب أيضًا بالتآمر مع شقيقه وآخرين لسرقة المعلومات الشخصية لزملائه وتركيب أجهزة سرًا لمراقبة الأنظمة الحكومية مع مرور الوقت أثناء خدمته في وزارة الخارجية الأمريكية.
اعترفت Opexus بعد الحادث أنه على الرغم من أن الشركة أجرت فحوصات خلفية أثناء التوظيف، إلا أنها "لم تكن دقيقة بما فيه الكفاية على ما يبدو" لتحديد سجلات الجرائم الإلكترونية الفيدرالية السابقة للأخوين. أدى هذا الخطأ، إلى جانب الفشل في الإلغاء الكامل لجميع أذونات الحساب عند إطلاقه، بشكل مباشر إلى حذف وسرقة البيانات الحكومية الحساسة على نطاق واسع في غضون ساعات.
وعلى صعيد الإجراءات القضائية، وقع منيب على اتفاق الإقرار بالذنب أمام شقيقه، لكنه بدأ مؤخراً بتقديم طلب إلى المحكمة لسحب إقراره بخط اليد أثناء وجوده في السجن. وادعى في الرسالة أن محامي الدفاع عنه "غير فعال" وأعرب عن أمله في المثول أمام المحكمة للدفاع عن نفسه. الاتجاه اللاحق للقضية لا يزال ينتظر حكمًا آخر من قبل المحكمة.
يسلط الحادث الضوء على أن أي ثغرات في مراجعة الموظفين وإدارة الحسابات في الأنظمة المهمة التي تتضمن البيانات الحكومية وملفات التحقيق وخصوصية المواطنين يمكن أن تتحول بسرعة إلى حوادث خطيرة تتعلق بالأمن السيبراني. بالنسبة للوكالات الحكومية التي تعتمد على المقاولين وخدمات الطرف الثالث، أصبحت كيفية إنشاء آليات أمنية أكثر صرامة وأكثر منهجية في التوظيف، والتحقق من الخلفية، وإدارة السلطة، وعمليات الاستقالة قضية عملية لا مفر منها.