炒人前未斷 VPN,96 個政府資料庫被刪:Teams 錄影揭開離職權限死角
Tech News

炒人前未斷 VPN,96 個政府資料庫被刪:Teams 錄影揭開離職權限死角

圖片:via Ars Technica — https://arstechnica.com/tech-policy/2026/05/fired-hacker-twins-forget-to-end-teams-recording-capture-own-crimes/
TechLab 編輯部(譯)·

香港公司用 Microsoft 365 都要睇嘅 offboarding 案例

炒人前未斷 VPN,96 個政府資料庫被刪:Teams 錄影揭開離職權限死角

圖:Ars Technica.原文連結

一個離職視像會議,正常應該係 HR 講完、員工離線、IT 收尾。但美國政府承包商 Opexus 呢宗案,示範咗如果「炒人」同「斷權限」中間有幾分鐘真空,可以變成幾十個資料庫嘅災難。Ars Technica 最新跟進指,涉案雙胞胎兄弟 Muneeb Akhter 同 Sohaib Akhter 被解僱後,疑似利用其中一人仍然有效嘅 VPN / 系統 access,刪走大約 96 個載有美國政府資料嘅資料庫;更荒謬係,檢方之所以有一段詳細對話紀錄,唔係靠神秘監控,而係因為當日 Teams 會議錄影一直無停。

呢單新聞最值得香港公司睇嘅位,唔係「Teams 會自爆」咁簡單。根據 Microsoft 文件,Teams 錄影本身會通知與會者,錄影亦會按會議類型儲存在 OneDrive 或 SharePoint;如果開始錄影嘅人離開,錄影仍可繼續,直至所有人離開或有人手動停止。換句話講,今次錄到涉案對話,表面上係一個操作失誤,但對公司 IT team 嚟講,真正問題係:離職會議開始之前,相關帳戶、VPN、RDP、資料庫、備份、客戶資料同裝置,有冇一齊鎖好?

發生咩事

DOJ 5 月 7 日新聞稿指,Sohaib Akhter 已被聯邦陪審團裁定 conspiracy to commit computer fraud、password trafficking,以及作為禁止人士持有槍械等罪名成立,判刑暫定 2026 年 9 月 9 日。案件文件顯示,兩兄弟曾於同一間華盛頓 D.C. 公司工作,該公司為超過 45 個美國聯邦政府機構提供軟件及服務,部分客戶資料寄存於 Ashburn 伺服器。Opexus 名字雖然唔係 DOJ 新聞稿直接寫出,但 Ars、CyberScoop 等報道已將「Company-1」對應到 Opexus;DOJ 另一個案件頁亦列出 1:25-cr-307-RDA 案中多項控罪同潛在受害人通知。

案情嘅時間線好集中。2025 年 2 月 18 日,僱主喺一個網上遙距會議入面解僱兩兄弟;DOJ 指二人隨即試圖傷害僱主同其政府客戶,包括未經授權進入系統、令資料庫 write-protected、刪除資料庫,以及銷毀非法活動證據。補充起訴書更列明,約 4:58pm Muneeb 刪除一個 DHS 生產資料庫,約 4:59pm 佢向 AI 工具查問點樣清理 SQL Server 刪庫後嘅 system logs;文件亦提到 2 月 21 日有共謀者透過重裝作業系統清走兩部公司手提電腦內容。呢啲細節令案件唔再只係「員工報復」咁粗略,而係一連串身份、session、logging、endpoint 同備份管治失效。

Teams 錄影唔係漏洞,但係證據會留低

Ars 今次跟進最特別嘅地方,係解釋檢方點解會有一段近乎逐字嘅對話紀錄。文章引述法院文件指,Sohaib 喺解僱會議開始後錄影;HR 人員離開後,會議錄影未有停止,於是繼續錄到兩兄弟之後大約一小時嘅互動。對 IT admin 嚟講,呢件事值得留意嘅唔係「Teams 偷錄」,因為 Microsoft 支援文件寫明錄影開始時所有與會者會收到通知;真正需要管理嘅係:邊啲人有權錄影、錄影儲存喺邊、邊個可下載或刪除、保留期幾耐,以及離職後前員工仲有冇機會接觸相關錄影或 transcript。

Microsoft 文件講得幾清楚:一般 Teams 會議錄影會儲存在 organizer 嘅 OneDrive,channel meeting 則去 SharePoint Teams site 入面嘅 Recordings folder;會議 organizer 預設擁有錄影,通常 organizer 同 co-organizer 先可下載或刪除。另一份 Teams 支援文件亦寫到,如果開始錄影嘅人離開會議,錄影會繼續;如果有人忘記離開,錄影會直至最後參與者離開先停。香港公司好多時將 Teams 當普通會議工具,但離職、紀律聆訊、投訴、客戶敏感項目會議,其實應該用「紀錄資產」角度處理,而唔係用完即算。

真正嘅缺口係 offboarding 順序

呢單案最刺眼嘅一句,係其中一個帳戶似乎已經被停,但另一個帳戶仍然可以進入系統。Microsoft 365 自家 offboarding 文件都講,員工離開時第一步係阻止再登入、reset password、sign out of all sessions;但同一份文件亦提醒,access token 可能仍有一段時間有效,block sign-in 亦唔一定即時對所有情況生效。Microsoft Entra 文件進一步指出,員工 termination、被盜帳戶同 insider threat 都可能需要緊急撤銷全部 access,而複雜環境入面,發出撤銷命令同真正失效之間可以有時間差。

所以,香港公司如果只靠 HR 發 email 畀 IT,叫「今日下班前停用某某帳戶」,其實好危險。正確做法應該係先分類:一般離職、敏感崗位離職、即時解僱、涉保安事故離職。對有 admin 權限、VPN、database、cloud console、backup、DNS、source code、客戶資料權限嘅人,解僱會議開始之前,IT 應該已經準備好同步執行 disable account、revoke sessions、移除 MFA device、停 VPN、停 SSO、停 privileged role、凍結 API token、收回 SSH key / PIV / hardware key,再做 endpoint isolation。呢啲唔係不近人情,而係當帳戶本身有破壞力,公司要將最後幾分鐘變成零風險窗口。

Backup 權限要同 production 分開

案中對話同文件都提到 backup、資料庫刪除同清 logs。呢度有個好多中小企會忽略嘅問題:備份存在唔代表安全,因為如果同一個高權限帳戶可以刪 production、刪 backup、改 DNS、改 retention policy,backup 只係多一個可以被破壞嘅目標。真正有用嘅 backup,要有權限分離、不可變更保留、異地或獨立 tenant、restore drill,同埋清楚寫明邊個可以刪、邊個可以還原、邊個只可以查閱狀態。

HKCERT 近期就一宗本地醫療資料外洩提醒機構,第三方系統 access 要採用 least privilege,並考慮 privileged access management 同 time-limited access;同時要定期檢視權限、保留完整 audit logs、做定期備份、為系統管理員同資料庫帳戶啟用 MFA。雖然該宗本地事件同 Opexus 案情唔同,但建議放喺同一個框架睇就好清楚:香港機構嘅風險好多時唔係單一黑客攻入,而係供應商、承辦商、前員工、共享 admin 帳戶同長期有效權限交疊,令一次人事變動可以直接打到核心資料。

AI 令掩飾痕跡更易,但亦更易留下痕跡

補充起訴書寫明,Muneeb 喺刪除 DHS 生產資料庫後一分鐘左右,向 AI 工具查問點樣清理 SQL Server 刪除資料庫後嘅 system logs。呢個細節幾有代表性:AI 唔係令普通員工突然變成攻擊者,但會降低某啲「下一步點做」嘅搜尋成本,尤其係清 logs、改權限、寫 script、避開偵測呢類操作。對公司嚟講,禁用所有 AI 未必實際;但高權限環境應該監察 admin 主機、terminal history、browser access、clipboard、雲端 AI 工具使用政策,以及資料庫重大操作前後嘅異常行為。

不過,AI 亦唔係魔法擦膠。今次案情反而顯示,愈多工具介入,愈多 metadata、query、browser artefact、endpoint log、cloud audit trail 可以串起時間線。公司安全設計唔應該幻想「AI 可以防止員工作惡」,而係要承認有人會用 AI 問蠢問題、問壞問題,然後確保 SIEM、EDR、資料庫審計同身份系統足夠快捕捉異常。對香港 office 嚟講,最現實做法係先將 admin 行為集中喺受管裝置同受管 browser profile,唔好畀高權限人員用私人機、私人瀏覽器、私人 AI 帳戶去處理生產系統。

香港公司唔應該照抄美國做法,但要照鏡

香港公司做離職錄影同工作間監察,唔可以只諗技術。私隱署《保障個人資料私隱指引:僱主監察僱員工作活動》建議僱主做 3As,即 Assessment、Alternatives、Accountability;亦建議用 3Cs,即 Clarity、Communication、Control。簡單講,監察要有清楚商業目的、要考慮有冇較低侵入性方法、要有書面政策同通知,並限制監察紀錄只畀獲授權人士按已通知目的使用。Teams 錄影、call transcript、login screen banner、EDR 同 proxy log,都可能係僱員個人資料;安全需要唔等於可以無限收集。

所以本地做法應該分兩層。第一層係日常政策:員工 handbook、IT acceptable use policy、Teams 錄影政策、電郵同網上使用規則,要講清楚公司會喺咩情況錄影或記錄工作通訊、資料保留幾耐、邊個可查閱。第二層係高風險程序:即時解僱、調查、懷疑資料外洩時,HR、legal、IT、security 要有預先批核嘅 runbook,列明邊一步由邊個做,邊個做 witness,邊個保存證據,邊個負責同私隱署或警方溝通。呢啲程序愈早寫好,事發時愈少靠臨場估。

由「人手 checklist」升級到「身份生命週期」

Opexus 案亦反映一個行業趨勢:政府流程、法規、FOIA、投訴、審計同 HR case management 越嚟越 SaaS 化,一個供應商平台可能同時接觸大量敏感紀錄。Opexus 官方網站稱其政府流程管理軟件服務多個公共機構,FOIAXpress、eCASE 等產品針對資訊公開、審計、調查、員工關係同 case management。呢類平台嘅價值正正在於集中流程;但集中之後,供應商員工、承辦商、support engineer 同 database admin 嘅權限就變成高價值風險點。

對香港 SME、學校、NGO、agency 或受規管行業,未必有大型 PAM 或 24/7 SOC,但至少可以做四件事。第一,將 HR system 或 payroll 嘅 last day 變成身份系統 trigger,而唔係靠人手 email。第二,將 privileged access 改成 just-in-time,平時無常駐 admin 權限。第三,將 production database 同 backup / restore 權限拆開,重大刪除要雙人批核。第四,定期做 tabletop exercise:假設一個 IT admin 下午 5 點被即時解僱,十五分鐘內要停咩、留咩證據、點樣確認無 session 殘留。呢啲先係今次新聞對本地最實際嘅價值。

最後要講清楚:今次唔係 Microsoft Teams 被爆出保安漏洞,亦唔係所有離職會議都應該錄影。它更似一個極端但好實用嘅壓力測試:當人事決定、身份系統、VPN、資料庫、備份、錄影、AI 同法律紀錄全部撞埋同一個鐘頭,公司有冇能力照住程序行,而唔係靠某個 admin 記唔記得 disable 某個帳戶。香港公司未必會遇到 96 個政府資料庫被刪,但一個未撤銷嘅 Microsoft 365、VPN 或 database session,已經足夠令一間細公司停工、漏客戶資料、甚至要向監管機構交代。


參考來源

本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。

分享:WhatsAppThreadsTelegramFacebook