
炒人前未斷 VPN,96 個政府資料庫被刪:Teams 錄影揭開離職權限死角
香港公司用 Microsoft 365 都要睇嘅 offboarding 案例

圖:Ars Technica.原文連結
一個離職視像會議,正常應該係 HR 講完、員工離線、IT 收尾。但美國政府承包商 Opexus 呢宗案,示範咗如果「炒人」同「斷權限」中間有幾分鐘真空,可以變成幾十個資料庫嘅災難。Ars Technica 最新跟進指,涉案雙胞胎兄弟 Muneeb Akhter 同 Sohaib Akhter 被解僱後,疑似利用其中一人仍然有效嘅 VPN / 系統 access,刪走大約 96 個載有美國政府資料嘅資料庫;更荒謬係,檢方之所以有一段詳細對話紀錄,唔係靠神秘監控,而係因為當日 Teams 會議錄影一直無停。
呢單新聞最值得香港公司睇嘅位,唔係「Teams 會自爆」咁簡單。根據 Microsoft 文件,Teams 錄影本身會通知與會者,錄影亦會按會議類型儲存在 OneDrive 或 SharePoint;如果開始錄影嘅人離開,錄影仍可繼續,直至所有人離開或有人手動停止。換句話講,今次錄到涉案對話,表面上係一個操作失誤,但對公司 IT team 嚟講,真正問題係:離職會議開始之前,相關帳戶、VPN、RDP、資料庫、備份、客戶資料同裝置,有冇一齊鎖好?
發生咩事
DOJ 5 月 7 日新聞稿指,Sohaib Akhter 已被聯邦陪審團裁定 conspiracy to commit computer fraud、password trafficking,以及作為禁止人士持有槍械等罪名成立,判刑暫定 2026 年 9 月 9 日。案件文件顯示,兩兄弟曾於同一間華盛頓 D.C. 公司工作,該公司為超過 45 個美國聯邦政府機構提供軟件及服務,部分客戶資料寄存於 Ashburn 伺服器。Opexus 名字雖然唔係 DOJ 新聞稿直接寫出,但 Ars、CyberScoop 等報道已將「Company-1」對應到 Opexus;DOJ 另一個案件頁亦列出 1:25-cr-307-RDA 案中多項控罪同潛在受害人通知。
案情嘅時間線好集中。2025 年 2 月 18 日,僱主喺一個網上遙距會議入面解僱兩兄弟;DOJ 指二人隨即試圖傷害僱主同其政府客戶,包括未經授權進入系統、令資料庫 write-protected、刪除資料庫,以及銷毀非法活動證據。補充起訴書更列明,約 4:58pm Muneeb 刪除一個 DHS 生產資料庫,約 4:59pm 佢向 AI 工具查問點樣清理 SQL Server 刪庫後嘅 system logs;文件亦提到 2 月 21 日有共謀者透過重裝作業系統清走兩部公司手提電腦內容。呢啲細節令案件唔再只係「員工報復」咁粗略,而係一連串身份、session、logging、endpoint 同備份管治失效。
Teams 錄影唔係漏洞,但係證據會留低
Ars 今次跟進最特別嘅地方,係解釋檢方點解會有一段近乎逐字嘅對話紀錄。文章引述法院文件指,Sohaib 喺解僱會議開始後錄影;HR 人員離開後,會議錄影未有停止,於是繼續錄到兩兄弟之後大約一小時嘅互動。對 IT admin 嚟講,呢件事值得留意嘅唔係「Teams 偷錄」,因為 Microsoft 支援文件寫明錄影開始時所有與會者會收到通知;真正需要管理嘅係:邊啲人有權錄影、錄影儲存喺邊、邊個可下載或刪除、保留期幾耐,以及離職後前員工仲有冇機會接觸相關錄影或 transcript。
Microsoft 文件講得幾清楚:一般 Teams 會議錄影會儲存在 organizer 嘅 OneDrive,channel meeting 則去 SharePoint Teams site 入面嘅 Recordings folder;會議 organizer 預設擁有錄影,通常 organizer 同 co-organizer 先可下載或刪除。另一份 Teams 支援文件亦寫到,如果開始錄影嘅人離開會議,錄影會繼續;如果有人忘記離開,錄影會直至最後參與者離開先停。香港公司好多時將 Teams 當普通會議工具,但離職、紀律聆訊、投訴、客戶敏感項目會議,其實應該用「紀錄資產」角度處理,而唔係用完即算。
真正嘅缺口係 offboarding 順序
呢單案最刺眼嘅一句,係其中一個帳戶似乎已經被停,但另一個帳戶仍然可以進入系統。Microsoft 365 自家 offboarding 文件都講,員工離開時第一步係阻止再登入、reset password、sign out of all sessions;但同一份文件亦提醒,access token 可能仍有一段時間有效,block sign-in 亦唔一定即時對所有情況生效。Microsoft Entra 文件進一步指出,員工 termination、被盜帳戶同 insider threat 都可能需要緊急撤銷全部 access,而複雜環境入面,發出撤銷命令同真正失效之間可以有時間差。
所以,香港公司如果只靠 HR 發 email 畀 IT,叫「今日下班前停用某某帳戶」,其實好危險。正確做法應該係先分類:一般離職、敏感崗位離職、即時解僱、涉保安事故離職。對有 admin 權限、VPN、database、cloud console、backup、DNS、source code、客戶資料權限嘅人,解僱會議開始之前,IT 應該已經準備好同步執行 disable account、revoke sessions、移除 MFA device、停 VPN、停 SSO、停 privileged role、凍結 API token、收回 SSH key / PIV / hardware key,再做 endpoint isolation。呢啲唔係不近人情,而係當帳戶本身有破壞力,公司要將最後幾分鐘變成零風險窗口。
Backup 權限要同 production 分開
案中對話同文件都提到 backup、資料庫刪除同清 logs。呢度有個好多中小企會忽略嘅問題:備份存在唔代表安全,因為如果同一個高權限帳戶可以刪 production、刪 backup、改 DNS、改 retention policy,backup 只係多一個可以被破壞嘅目標。真正有用嘅 backup,要有權限分離、不可變更保留、異地或獨立 tenant、restore drill,同埋清楚寫明邊個可以刪、邊個可以還原、邊個只可以查閱狀態。
HKCERT 近期就一宗本地醫療資料外洩提醒機構,第三方系統 access 要採用 least privilege,並考慮 privileged access management 同 time-limited access;同時要定期檢視權限、保留完整 audit logs、做定期備份、為系統管理員同資料庫帳戶啟用 MFA。雖然該宗本地事件同 Opexus 案情唔同,但建議放喺同一個框架睇就好清楚:香港機構嘅風險好多時唔係單一黑客攻入,而係供應商、承辦商、前員工、共享 admin 帳戶同長期有效權限交疊,令一次人事變動可以直接打到核心資料。
AI 令掩飾痕跡更易,但亦更易留下痕跡
補充起訴書寫明,Muneeb 喺刪除 DHS 生產資料庫後一分鐘左右,向 AI 工具查問點樣清理 SQL Server 刪除資料庫後嘅 system logs。呢個細節幾有代表性:AI 唔係令普通員工突然變成攻擊者,但會降低某啲「下一步點做」嘅搜尋成本,尤其係清 logs、改權限、寫 script、避開偵測呢類操作。對公司嚟講,禁用所有 AI 未必實際;但高權限環境應該監察 admin 主機、terminal history、browser access、clipboard、雲端 AI 工具使用政策,以及資料庫重大操作前後嘅異常行為。
不過,AI 亦唔係魔法擦膠。今次案情反而顯示,愈多工具介入,愈多 metadata、query、browser artefact、endpoint log、cloud audit trail 可以串起時間線。公司安全設計唔應該幻想「AI 可以防止員工作惡」,而係要承認有人會用 AI 問蠢問題、問壞問題,然後確保 SIEM、EDR、資料庫審計同身份系統足夠快捕捉異常。對香港 office 嚟講,最現實做法係先將 admin 行為集中喺受管裝置同受管 browser profile,唔好畀高權限人員用私人機、私人瀏覽器、私人 AI 帳戶去處理生產系統。
香港公司唔應該照抄美國做法,但要照鏡
香港公司做離職錄影同工作間監察,唔可以只諗技術。私隱署《保障個人資料私隱指引:僱主監察僱員工作活動》建議僱主做 3As,即 Assessment、Alternatives、Accountability;亦建議用 3Cs,即 Clarity、Communication、Control。簡單講,監察要有清楚商業目的、要考慮有冇較低侵入性方法、要有書面政策同通知,並限制監察紀錄只畀獲授權人士按已通知目的使用。Teams 錄影、call transcript、login screen banner、EDR 同 proxy log,都可能係僱員個人資料;安全需要唔等於可以無限收集。
所以本地做法應該分兩層。第一層係日常政策:員工 handbook、IT acceptable use policy、Teams 錄影政策、電郵同網上使用規則,要講清楚公司會喺咩情況錄影或記錄工作通訊、資料保留幾耐、邊個可查閱。第二層係高風險程序:即時解僱、調查、懷疑資料外洩時,HR、legal、IT、security 要有預先批核嘅 runbook,列明邊一步由邊個做,邊個做 witness,邊個保存證據,邊個負責同私隱署或警方溝通。呢啲程序愈早寫好,事發時愈少靠臨場估。
由「人手 checklist」升級到「身份生命週期」
Opexus 案亦反映一個行業趨勢:政府流程、法規、FOIA、投訴、審計同 HR case management 越嚟越 SaaS 化,一個供應商平台可能同時接觸大量敏感紀錄。Opexus 官方網站稱其政府流程管理軟件服務多個公共機構,FOIAXpress、eCASE 等產品針對資訊公開、審計、調查、員工關係同 case management。呢類平台嘅價值正正在於集中流程;但集中之後,供應商員工、承辦商、support engineer 同 database admin 嘅權限就變成高價值風險點。
對香港 SME、學校、NGO、agency 或受規管行業,未必有大型 PAM 或 24/7 SOC,但至少可以做四件事。第一,將 HR system 或 payroll 嘅 last day 變成身份系統 trigger,而唔係靠人手 email。第二,將 privileged access 改成 just-in-time,平時無常駐 admin 權限。第三,將 production database 同 backup / restore 權限拆開,重大刪除要雙人批核。第四,定期做 tabletop exercise:假設一個 IT admin 下午 5 點被即時解僱,十五分鐘內要停咩、留咩證據、點樣確認無 session 殘留。呢啲先係今次新聞對本地最實際嘅價值。
最後要講清楚:今次唔係 Microsoft Teams 被爆出保安漏洞,亦唔係所有離職會議都應該錄影。它更似一個極端但好實用嘅壓力測試:當人事決定、身份系統、VPN、資料庫、備份、錄影、AI 同法律紀錄全部撞埋同一個鐘頭,公司有冇能力照住程序行,而唔係靠某個 admin 記唔記得 disable 某個帳戶。香港公司未必會遇到 96 個政府資料庫被刪,但一個未撤銷嘅 Microsoft 365、VPN 或 database session,已經足夠令一間細公司停工、漏客戶資料、甚至要向監管機構交代。
參考來源
- Ars Technica — Fired hacker twins forget to end Teams recording, capture own crimes — original report
- DOJ:Federal Jury Convicts Virginia Man on Charges Relating to the Deletion of U.S. Government Databases — 官方新聞稿,確認定罪、96 個資料庫、45+ 政府機構、明文密碼同判刑日期。
- EDVA:United States vs. Muneeb Akhter and Sohaib Akhter, Case Number 1:25-CR-307-RDA — 官方案件頁,列出控罪、潛在受害人資訊同案件脈絡。
- DOJ / EDVA:Superseding Indictment, Case 1:25-cr-00307-RDA — 起訴書原始文件,確認 DHS 生產資料庫、AI 查問清 logs、重裝公司手提電腦等細節。
- Microsoft Learn:Teams meeting recording and transcript storage and permissions — Microsoft 官方文件,說明 Teams 錄影 / transcript 儲存位置同權限。
- Microsoft Support:Start, stop, and find meeting recordings in Microsoft Teams — Microsoft 支援文件,說明錄影通知、停止條件、誰可開始或停止錄影。
- Microsoft Learn:Revoke user access in Microsoft Entra ID — 官方身份管理文件,支持離職、insider threat、session token 同撤銷 access 分析。
- 私隱署:Privacy Guidelines: Monitoring and Personal Data Privacy at Work — 香港工作間監察指引,支持 Teams 錄影、僱員監察政策同個人資料處理分析。
本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。







