删了 96 个政府数据库，却把犯罪过程录进了 Teams

2025 年 2 月 18 日，美国联邦 IT 承包商 Opexus 在 Microsoft Teams 上解雇了两名员工：34 岁双胞胎 Muneeb Akhter 和 Sohaib Akhter。

反常点在这里：Sohaib 开会时点了录制。HR 大约 2 分 40 秒后离开，会议没停，录制继续跑了约一小时。

接下来，两人讨论 VPN、数据库、备份、DNS、客户数据、联系客户、索要补偿，以及怎么制造“可否认性”。后来，这段录制成了逐字证据。

所以这案子最荒诞的地方，不是黑客多高明。是两边都幼稚。犯罪者相信自己能绕开证据，公司则让刚被解雇的人继续摸到关键系统。

一眼看完：删了什么，证据从哪来

这里要压住一个边界：不要把他们写成高级黑客 mastermind。

材料里能看到的，更像一次粗糙的离职报复。两人懂系统，也能造成破坏，但对话里充满摇摆：还连着 VPN 吗，数据库要不要删，他们应该有备份，怎么让自己看起来没动手。

这不是电影里的天才犯罪。更像一串权限没关、情绪上头、侥幸心理叠在一起后的事故。

也不能反过来夸大损害。已知事实是 96 个政府数据库被删除，涉及多个政府监察长办公室客户。材料还提到二人讨论过备份和恢复，但这不等于可以断言数据永久丢失，也不能编造业务中断规模。

目前能确定的严重性在另一处：一个被解雇的人，还能在关键时刻接触政府客户数据库。

真漏洞不是 Teams，是离职权限没断干净

Teams 录制只是戏剧性。真正的安全问题在权限链。

被解雇的人，在通知前后仍能连 VPN，仍能碰数据库，仍能对客户系统动手。这说明 Opexus 至少在离职流程、访问控制、会话吊销和内部威胁防线上出现了缝。

安全行业天天讲“最小权限”。落到组织里，经常变成墙上的字。

项目结束了，权限还挂着。人离开了，账号还活着。系统之间的授权关系没人敢动，怕业务出问题。于是旧钥匙越攒越多，直到某一天被用来开错门。

“千里之堤，溃于蚁穴。”这句老话放在这里很贴。政府数据库不是被神秘零日打穿，而是被一段没收干净的访问链拖下水。

对关注网络安全和企业 IT 治理的人，这案子不是茶余饭后的怪闻，而是一张检查单。

动作要具体。高风险离职不该是 HR 先讲完，IT 再慢慢处理。

更稳妥的做法，是通知前完成账号冻结预案。通知发生时，同步吊销会话、关闭 VPN、冻结数据库权限、轮换密钥、收回设备访问、锁住客户通讯渠道。至少要做到：人听到坏消息时，系统门已经关上。

现实约束也要承认。权限切太快，可能误伤交接。大型企业和政府承包商系统复杂，账号、密钥、数据库权限不一定集中在一个地方。

但这不是拖延理由。复杂系统更需要剧本，而不是靠当天临场反应。

“可否认性”救不了日志，也救不了录音

两人的对话里，最刺眼的是对“可否认性”的迷信。

他们似乎相信，只要不把话说死，只要操作痕迹绕一点，只要看起来访问可能已经被关掉，就还有解释空间。问题是，现代企业系统不是只看一句话。

日志会拼时间线。VPN 会留下连接记录。账号会留下操作痕迹。数据库动作、DNS、备份、客户数据访问，会互相印证。更尴尬的是，这次还有他们自己录下来的台词。

这类幼稚感，在技术犯罪里并不少见。早期互联网犯罪常有一种错觉：我懂工具，所以我懂风险。可工具知识不等于证据知识，更不等于法律常识。

企业也别急着笑。

笑他们蠢很容易。承认自己的流程同样粗糙，难得多。

内部威胁的麻烦就在这里：外部攻击者要找入口，内部员工本来就在入口里面。离职那一刻，信任关系最脆，权限却常常最乱。

这也是接下来最该观察的地方：不是 Teams 会不会背锅，而是 Opexus 这类承包商如何证明自己改了流程。

至少有三件事要看：

• 是否重新梳理离职权限回收，把 HR、IT、安全、法务串成一个流程。
• 是否强化高权限账号、数据库管理员权限、VPN 会话和密钥轮换的审计。
• 是否向政府客户说明备份、恢复、数据完整性和后续访问控制的处理边界。

注意，这些观察点不需要编造损失。它们只回答一个现实问题：同样的人、同样的权限、同样的离职场景，下次还会不会发生。

这案子最后的反讽很硬。

两个人相信自己能删掉痕迹，却没删掉会议录制。公司以为解雇已经完成，权限却还没真正结束。

技术系统里，最危险的未必是天才犯罪。更常见的，是普通流程没人负责到底。