31岁被裁，程序员怒而黑进前东家：“一键重置”2500个账号，全国业务瞬间停摆，损失高达600+万

如果说网络攻击里有一种最难防、最令人头疼的威胁，那大概率不是勒索病毒、APT 组织，也不是零日漏洞，而是——你的前同事。

2021 年 5 月发生在美国休斯敦的一起内部员工攻击事件，直到最近才随着法院审理推进而完全曝光：一家业务覆盖美国全国的大型企业，在短短几分钟内被打回“未激活状态”，造成 86.2 万美元（约人民币 613 万元）直接损失，并触发业务连续性危机。

而这件事的肇事者，只是一名被开除的 IT 外包人员。

外包被解雇后，又轻松回到内网

根据美国司法部（DOJ）文件，这名 IT 外包名为 Maxwell Schultz，现年 35 岁，来自美国俄亥俄州，曾作为一名合约工，为一家大型企业的IT 部门提供技术支持工作。虽然 DOJ 并未直接点名，但多家地方媒体推测，这家公司正是美国废物管理公司 Waste Management（简称 WM）。

2021 年 5 月 14 日，时年 31 岁的 Maxwell Schultz 被原公司解除合约，账号权限也按流程立即被撤销。

按理说，故事到这里就应该结束：毕竟一般而言，公司在解雇员工或外包时，会同步完成账号权限回收与系统级权限吊销；然而，现实的企业安全管理往往并不会“按理说”。

如今，大型企业的权限回收流程往往依赖人工、跨部门沟通复杂，执行容易出错，外包权限的控制更是众多公司公认的“管理盲区”。一旦权限回收流程不彻底、身份验证机制存在疏漏，攻击者便能轻易重返网络内部——Maxwell Schultz 正是钻了这个空子。

被解雇后不久，Maxwell Schultz 利用自己对内部系统架构的熟悉，冒充另一名外包人员，套取了新的网络登录凭证，重新进入公司的网络系统。

一条 PowerShell 脚本，引发大规模“账号失效”

重新进入系统后，Maxwell Schultz 并没有做复杂的渗透，也没有部署恶意程序，而是选择了一个更暴力、更影响全局的方式：运行一段 PowerShell 脚本，一键重置约 2500 个账号密码。

法院文件披露，这段脚本是 Maxwell Schultz 自己编写的，调用的是 Windows 企业环境极为常见的命令行接口。脚本执行后，WM 全公司范围内：

● 所有员工与外包的电脑被统统踢下线

● 任何登录尝试全部失败

● 从客户服务部门到现场运维团队，所有业务瞬间停摆

可以想象，这对一家在美国全国范围内布局的大型企业意味着什么——所有依赖内部系统的工作流程同步冻结，业务连续性瞬间被打断。而这，仅仅是几行 PowerShell 代码的效果。

为了掩盖自己的行为，事后 Maxwell Schultz 还上网搜索了如何删除系统日志，并成功清除了多条 PowerShell 事件记录。虽然没能完全抹掉痕迹，但这也大幅提升了事后的取证难度。

员工停工、客服中断，企业损失超 86 万美元

司法部公布的信息显示，此次 Maxwell Schultz 的攻击造成 86.2 万美元以上的损失，主要来自三部分：

（1）大量员工停工：数千名员工无法登录电脑，自然无法开展任何与系统相关的操作，可企业每天支付的薪酬成本并不会因此暂停。

（2）客户服务体系瘫痪：Waste Management 的客服体系高度依赖内部工单与处理系统，密码被重置后，客服无法访问后台系统，导致服务中断。

（3）恢复网络的人工成本：这包括重新建立账号、恢复系统、梳理日志、排查可能的额外破坏等所有技术行为。而大规模权限恢复对 IT 团队来说，往往意味着数日甚至数周的加班。

以上这些，这还不算公司名誉影响、合同延误等长期成本。某位参与事件调查的工程师形容：“这是普通技术人不会想到的攻击方式，但对内部结构熟悉的人来说，它简单到令人后怕。”

动机只有一个：“被开除而不爽”

面对 DOJ 的调查，Maxwell Schultz 坦白了自己的动机：“因为被解雇而不爽。”

是的，他不是为了勒索，也不是被人指使，更没有复杂的攻击流程，纯纯就是为了泄愤。

目前，该案件已移交至美国联邦地区法院，预计 2026 年 1 月 30 日宣判，届时 Maxwell Schultz 可能面临最高 10 年联邦监禁 + 25 万美元罚款。

针对此事，网络安全专家指出，这类因不满被解雇而发起的“内鬼攻击”（insider threat）正在快速增加，尤其是像能源和科技行业这种依赖外包、且外包人员权限较高的地区。美国网络安全与基础设施安全局（CISA）也多次提醒企业，要对前员工、前外包人员的权限回收极度重视。

毕竟，类似的“内鬼攻击”事件可谓是层出不穷。例如，今年 5 月美国最大加密货币交易所 Coinbase 遭遇内鬼勾结黑客勒索 2000 万美元，致使平台管理深层漏洞暴露，损失超 4 亿美元；去年 5 月，FinWise 银行也因前员工窃取数据导致近 70 万用户信息泄露。

你能说这些公司的安全管理机制不完善吗？实际上，多数公司都会关注防火墙、入侵检测、勒索软件防护，但往往忽略了“人”——尤其是那些曾拥有较高权限、了解内部流程、并深知系统弱点的工程师。

而他们要发起攻击，都不需要太高级的技术，只要情绪失控，就能用最简单的方式造成最严重的后果。

参考链接：https://www.justice.gov/usao-sdtx/pr/former-contractor-admits-hacking-employer-retaliation-termination

本文来自微信公众号“CSDN”，整理：郑丽媛，36氪经授权发布。