Ontslagen it'er eist 200.000 dollar voor wachtwoord
Een systeembeheerder van een Amerikaanse school die online master- en doctoraatsopleidingen voor docenten aanbiedt eiste 200.000 dollar voor het beheerderswachtwoord dat hij voor zijn ontslag had veranderd. Dat blijkt uit gerechtsdocumenten waar IndyStar over bericht.
De man was werkzaam voor het American College of Education (ACE). Na zijn ontslag bleek het wachtwoord van het Google-account van de school te zijn veranderd. Daardoor hadden werknemers geen toegang meer tot e-mail en lesmateriaal voor 2.000 docenten die een opleiding volgden. De ontslagen it'er wilde helpen als hij 200.000 dollar zou ontvangen.
Ontslag
De it-medewerkers van ACE waren verspreid over de Verenigde Staten. De school wilde begin vorig jaar alle it-medewerkers op één locatie hebben en gaf hen de keus om te verhuizen of ontslag te nemen, waarbij er een ontslagvergoeding zou worden uitgekeerd. Alle it-medewerkers namen ontslag, waarna er nog één systeembeheerder overbleef. Hij werd echter op 1 april ontslagen omdat hij niet wilde verhuizen. Voor zijn ontslag had de man het wachtwoord van het Google-account van de school aangepast.
Toen de docenten in mei weer aan hun opleiding wilden beginnen konden zij niet langer hun e-mailaccounts, documenten en ander lesmateriaal benaderen. Na teveel mislukte inlogpogingen besloot Google het beheerdersaccount tijdelijk te schorsen. De school vroeg Google om hulp, maar volgens de school wilde Google alleen de ontslagen it'er toegang geven, aangezien hij als enige systeembeheerder voor het account was aangemeld. De school benaderde de ontslagen it'er, maar die wees naar zijn advocaat. De advocaat liet vervolgens weten dat zijn client een schone referentiebrief en 200.000 dollar wilde.
Ook stelde de it'er dat het wachtwoord op een laptop van de school stond die hij had teruggeven, maar volgens de school had de man alle informatie op de schijf gewist en het systeem opnieuw geïnstalleerd. Sinds het incident is de school op een andere cloudprovider overgestapt. De rechter veroordeelde de it'er in september om de school een schadevergoeding van bijna 250.000 dollar te betalen. Nadat IndyStar over de zaak berichtte heeft Google het account ontgrendeld en beschikt de school weer over alle e-mails en data.
En hoe wil je voorkomen dat die ene laatste beheerder 1 minuut voordat hij weg rijdt het ww nog even wijzigt?
Door afgeven van het juiste wachtwoord mag hij er weer uit.
En hoe wil je voorkomen dat die ene laatste beheerder 1 minuut voordat hij weg rijdt het ww nog even wijzigt?
Zouden bij ace een cursus risicomanagement hebben?
Zo ja dan heeft het management van ace die stof niet begrepen. Dit soort risicomanagement geld voor economie bestuurskunde het Is afgeleide naar ict security.
En hoe wil je voorkomen dat die ene laatste beheerder 1 minuut voordat hij weg rijdt het ww nog even wijzigt?
Je kan dit voorkomen door middel van een strakke exit-policy.
Een voorbeeld hiervan is vlak voordat iemand ontslagen wordt alle toegang tot het systeem te ontzeggen. Na het ontslag wordt de ex-medewerker naar buiten geëscorteerd. Zijn persoonlijke spullen worden naderhand opgestuurd. Op deze manier voorkom je corporate-sabotage.
En hoe wil je voorkomen dat die ene laatste beheerder 1 minuut voordat hij weg rijdt het ww nog even wijzigt?
Zouden bij ace een cursus risicomanagement hebben?
Zo ja dan heeft het management van ace die stof niet begrepen. Dit soort risicomanagement geld voor economie bestuurskunde het Is afgeleide naar ict security.
Als 1 van die drie het beheer ww wijzigt kunnen die andere nog steeds niets, en met maar 1 beheerder houdt ook dit op.
Kan je het wel aan een niet beheerder geven (ook niet verstandig) maar die hebben geen idee waarvan het is en als het nodig is komt het ook niet boven tafel. En dan nog, als het gewijzigd is heb je ook daar niets aan.
Stom om iedereen te ontslaan, maar dat het ww veranderd is konden ze daarna niet voorkomen.
En hoe wil je voorkomen dat die ene laatste beheerder 1 minuut voordat hij weg rijdt het ww nog even wijzigt?
Je kan dit voorkomen door middel van een strakke exit-policy.
Een voorbeeld hiervan is vlak voordat iemand ontslagen wordt alle toegang tot het systeem te ontzeggen. Na het ontslag wordt de ex-medewerker naar buiten geëscorteerd. Zijn persoonlijke spullen worden naderhand opgestuurd. Op deze manier voorkom je corporate-sabotage.
Ze hebben niet gezegd dat ze van de systeembeheerders af willen, maar dat ze hen de keus zelf hadden gegeven. Dat is in ieder geval ethisch de juiste weg, en ja.. dat zorgt voor beveiligingsrisico's. Zou jij liever op straat komen staan met ontslag op staande voet dan dat ze je de keuze geven om qua werkplek mee te verhuizen? Ik zou als organisatie ook voor dat laatste kiezen.
En ja, dit soort dingen horen eigenlijk bij meer dan één persoon te liggen. Het is alleen wel zo dat veel organisaties vaak zoiets hebben van ; 'regel 't maar, jij bent IT'er', en dan geven ze je dus een vrijbrief. De vraag is: hoe had je dit kunnen voorkomen, zonder het belang van je eigen medewerkers te schaden?
Een voorbeeld hiervan is vlak voordat iemand ontslagen wordt alle toegang tot het systeem te ontzeggen. Na het ontslag wordt de ex-medewerker naar buiten geëscorteerd. Zijn persoonlijke spullen worden naderhand opgestuurd. Op deze manier voorkom je corporate-sabotage.
Tja, en hoe krijg je dan zijn wachtwoord(en)? Dat zal je hem toch moeten vragen?
Uiteindelijk zijn beheerders niet voor niets mensen waarbij integriteit een kernwaarde zou moeten zijn. Ze kunnen en weten meer dan veel andere mensen binnen organisaties (zeker binnen scholen en andere niet IT-gedreven organisaties), en dat dat leidt tot risico's. Je kan niet van alle organisaties verlangen dat ze alle maatregelen (kunnen) treffen om alle risico's rondom beheerders te mitigeren, zoals wachtwoordkluizen (met 2-factor), PAM-tools, samengestelde wachtwoorden, etc. etc. Omdat veel kleinere organisaties daar niet de financiele middelen voor hebben en maar 1 beheerder in dienst kunnen nemen. (En dan heb ik het nog niet over het feit dat veel organisaties daar niet over nadenken omdat ze niet de kennis hebben.)
Uiteindelijk wordt er een andere weg gevonden (dat zie je nu maar), je wordt oneervol ontslagen (en komt dus moeilijk elders aan de bak), je krijgt een torenhoge boete enzovoort.
Goed, je hebt even lekker je collega's en vooral je werkgever dwarsgezeten. Geweldig toch zo'n actie.
Gelukkig is dat altijd nog minder erg dan wat ook veel voorkomt in de VS: even in het bedrijf met een wapen rondzwaaien (en dat ook gebruiken).
Overigens had de IT-er natuurlijk wel kunnen begrijpen dat dit nooit ging lukken en dat Google de account (al dan niet via (een goedkopere) rechtzaak) zou vrijgeven.
1: Als beheerder eventjes het admin wachtwoord wijzigen of informatie vernietigen voor je vertrek is natuurlijk dom, fout en meestal strafbaar.
2: Als enige beheerder zijn, is een fout van de beheerder zelf. Hij moet dat aankaarten en vragen om een backup te hebben. Je weet natuurlijk nooit wat er kan gebeuren.
3: Dit is evenzeer een fout van de organisatie. Deze moet erop toezien dat er "genoeg" beheerders zijn, en dat men in staat is om ten alle tijde het beheer over te dragen.
4: Indien dit een persoonlijke account is, dan zou normaal het wachtwoord niet doorgegeven mogen worden. Enkel voor gesharede/generieke accounts mag het wachtwoord gedeeld worden (met extra security controls). De manier van werken bij persoonlijke admin accounts zou moeten zijn dat de beheerder een nieuwe persoonlijke account aanmaakt voor een andere beheerder.
Als het in huis systeem netjes opgezet is, wordt gebruik gemaakt van gecrypte opslag . En als de beheerder blijkbaar (zoals hier) onethisch is, wat let haar om het encryptie wachtwoord op dezelfde manier te wissen als dit gmail beheer account ?
Of het systeem gewoon te slopen ?
Feitelijk was hier google de _betere_ keuze - met genoeg gedoe (waarschijnlijk notarized handtekeningen van CEO's of zo) kun je als organisatie bewijzen - en google overtuigen - dat de organisatie een ander beheer account gekoppeld wil hebben aan de dienst van de organisatie.
Overigens had de IT-er natuurlijk wel kunnen begrijpen dat dit nooit ging lukken en dat Google de account (al dan niet via (een goedkopere) rechtzaak) zou vrijgeven.
Het meest opmerkelijke aan het verhaal vind ik nog dat _de advocaat_ van die beheerder het blijkbaar geen probleem vond om mee te werken aan iets wat feitelijk afpersing was (de vraag voor $200.000 voor het password) en de client niet behoed heeft om aansprakelijk te worden voor de schade - dat ITers hun juridische positie niet goed inschatten is niet zo gek (ieder z'n vak - je ziet het hier ook genoeg) , maar dat een betrokken jurist het niet voorkomt is opmerkelijk.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
