Ex-engenheiro acessou a nuvem da Cisco cinco meses após deixar a empresa, apagou 456 máquinas virtuais, deixou 16 mil contas indisponíveis por até duas semanas e foi condenado a dois anos de prisão
Um ex-engenheiro da empresa Cisco acessou sem autorização a infraestrutura em nuvem da companhia e apagou 456 máquinas virtuais do Webex Teams. Mais de 16 mil contas ficaram indisponíveis, e os custos chegaram a aproximadamente US$ 2,4 milhões.
O responsável foi Sudhish Kasaba Ramesh, que havia trabalhado na empresa entre agosto de 2016 e abril de 2018. Ele admitiu a responsabilidade, foi condenado a dois anos de prisão e recebeu multa de US$ 15 mil.
Ex-funcionário havia trabalhado com a plataforma do Webex
Ramesh integrava uma equipe responsável por atividades como automação, acesso a dados e registro de métricas. Nessa função, possuía uma chave de acesso ligada ao Webex Teams hospedado nos servidores da Amazon Web Services, a AWS.
-
Casal compra mansão vitoriana de 12 quartos abandonada havia seis anos, arranca a figueira que engolia a fachada e revela uma porta em arco de tijolos com degraus, a entrada de serviço dos criados e decide preservar o achado em vez de fechá-lo de novo
-
Farol de 1891 está à venda por US$ 995 mil: funciona como residência autossuficiente, com painéis solares e água
-
Ele assistiu a Steve Jobs revelar o Macintosh, ajudou a criar uma das primeiras redes sem fio do mundo na Apple mas 50 anos depois ele volta a faculdade para se formar na universidade que começou em 1972
-
Uma van Ford Transit 2018 que era puro veículo de trabalho, suja e rangendo, foi transformada em motorhome do zero por uma mulher que admite ter inventado o processo conforme ia fazendo, com barreira de vapor, aquecedor de água de 120 volts e bomba de 12
Essas informações constam em um estudo de caso oficial do Center for Development of Security Excellence, órgão ligado ao Departamento de Defesa dos Estados Unidos.
Ramesh deixou a Cisco aproximadamente em abril de 2018. Segundo o documento, a empresa não alterou a senha da conta AWS depois da saída do funcionário.
Essa falha permitiu que a antiga chave continuasse sendo utilizada. A afirmação sobre a senha aparece no estudo governamental, enquanto os documentos judiciais confirmam que o acesso posterior ocorreu sem autorização da Cisco.
Acesso aconteceu cinco meses depois da saída da Cisco
Em 24 de setembro de 2018, aproximadamente cinco meses depois de deixar a empresa, Ramesh acessou a infraestrutura em nuvem da Cisco hospedada na AWS.
De acordo com o Departamento de Justiça dos Estados Unidos, ele fez isso por meio de uma conta própria no Google Cloud Project.
Durante o acesso, Ramesh executou um código que resultou na exclusão de 456 máquinas virtuais usadas pelo Webex Teams.
O serviço fornecia ferramentas de reuniões por vídeo, mensagens, compartilhamento de arquivos e colaboração entre equipes. O produto posteriormente passou a ser chamado apenas de Webex.
O estudo governamental informa que os comandos foram enviados durante aproximadamente duas horas e provocaram a interrupção completa do Webex Teams naquele momento.
Mais de 16 mil contas ficaram fora do ar
A exclusão das máquinas virtuais derrubou mais de 16 mil contas do Webex Teams. Os usuários afetados ficaram sem acesso ao serviço por períodos que chegaram a duas semanas.
A Cisco precisou mobilizar funcionários para restaurar a aplicação. O trabalho interno consumiu aproximadamente US$ 1,4 milhão, segundo os valores apresentados no processo.
Além disso, a empresa devolveu mais de US$ 1 milhão aos clientes afetados. Somados, os gastos com recuperação e reembolsos ficaram em torno de US$ 2,4 milhões.
Apesar da extensão da interrupção, o Departamento de Justiça informou que nenhum dado de cliente foi comprometido. O impacto confirmado concentrou-se na disponibilidade do serviço e nos custos de recuperação.
Investigação chegou à conta do Google Cloud
O estudo do Center for Development of Security Excellence informa que a investigação associou a operação a uma conta do Google Cloud registrada no nome de Ramesh e em um nome alternativo.
A conta também havia sido paga com o cartão dele. O endereço de internet usado na operação teria sido relacionado ao computador de trabalho que Ramesh utilizava no emprego seguinte.
O material oficial afirma que o acesso aconteceu enquanto ele estava presente nesse novo local de trabalho. Esses elementos digitais ajudaram o FBI a atribuir a ação ao antigo engenheiro da Cisco.
A motivação, entretanto, permanece desconhecida. Nenhuma das fontes oficiais consultadas informa se houve vingança, disputa trabalhista ou tentativa de obter vantagem financeira.
Ex-engenheiro admitiu ter agido de forma imprudente
Ramesh foi formalmente acusado em 13 de julho de 2020 de acessar um computador protegido sem autorização e causar danos de forma imprudente.
Em 26 de agosto daquele ano, ele se declarou culpado. No acordo, admitiu que sabia existir um risco considerável de sua conduta prejudicar a Cisco, mas mesmo assim executou o código.
Segundo o comunicado oficial sobre a confissão, a acusação poderia resultar em até cinco anos de prisão e multa de US$ 250 mil.
A investigação foi conduzida pelo FBI. A Cisco cooperou com o Departamento de Justiça e com os agentes responsáveis pelo caso.
Sentença determinou dois anos de prisão
Em 9 de dezembro de 2020, a juíza federal Lucy H. Koh condenou Ramesh a 24 meses de prisão, seguidos por um ano de liberdade supervisionada.
Ele também foi obrigado a pagar multa de US$ 15 mil. A pena começou em 10 de fevereiro de 2021, conforme o comunicado oficial da sentença.
Embora tenha calculado aproximadamente US$ 2,4 milhões em custos e reembolsos, a Cisco não solicitou restituição financeira ao ex-funcionário, segundo o estudo governamental.
O caso mostrou como uma credencial privilegiada não alterada após a saída de um profissional pode permitir acesso posterior a sistemas críticos. Na Cisco, uma única operação atingiu milhares de contas e exigiu milhões de dólares para restaurar o serviço.
