La cyber-vendetta di un ex dipendente

16 Gen 2019

Licenziare dei dipendenti fa parte della vita di qualsiasi azienda. Tuttavia, in alcuni casi questa separazione può essere dolorosa. Nervi logori dei manager a parte, gli ex dipendenti scontenti possono provocare danni economici e di reputazione quando cercano di vendicarsi per un presunto torto subito.

Diamo un’occhiata a cosa può portare questo risentimento e come difendersi dalla cyber-vendetta.

Password da 200 mila dollari

Un esempio di quanto accennato finora ce lo offre l’American College of Education. La direzione di questa scuola online aveva dei problemi con l’amministratore di sistema Triano Williams, che lavorava in remoto per la compagnia.

Nel 2016, il dipendente ha presentato un reclamo per discriminazione razziale contro l’azienda. Un po’ di tempo dopo, gli è stato proposto di trasferirsi a Indianapolis per lavorare in sede. Williams non ha accettato, dal momento che il telelavoro era da sempre per lui una condizione essenziale. E a questo punto è stato licenziato. Nonostante avesse ricevuto una buonuscita, il professionista IT non era soddisfatto e ha iniziato a sentire un profondo risentimento, soprattutto perché ha pensato che il trasferimento a Indianapolis fosse una conseguenza dalla sua lamentela per discriminazione. Con lo scopo di vendicarsi della scuola online, l’esperto IT ha cambiato la password dell’account Google aziendale, privando il college dell’accesso a caselle e-mail e materiali scolastici e creando problemi a oltre 2 mila studenti.

Williams ha poi risposto all’accusa affermando che la password era stata salvata automaticamente sul suo computer di lavoro, che aveva restituito poco dopo essere stato licenziato. Tuttavia, a detta del college, l’allora amministratore di sistema aveva cancellato tutto ciò che c’era nell’hard disk del dispositivo prima di restituirlo.

L’American College of Education ha chiesto a Google di ripristinare l’accesso all’account, ma si è poi scoperto che il profilo era stato registrato con l’indirizzo personale di Williams e non dell’azienda. Il legale dell’ex-dipendente a questo punto ha buttato l’amo, affermano che il suo cliente avrebbe potuto ricordare la password perduta a cambio di 200 mila dollari e una raccomandazione da parte della compagnia.

Attacco in grande stile

Richard Neale, cofondatore ed ex direttore IT della compagnia di information security Esselar, è stato mandato via dall’azienda in malo modo e ci ha messo ben sei mesi per architettare la sua vendetta.

Per screditare i suoi ex colleghi, ha aspettato il giorno in cui Esselar aveva in programma di mostrare i suoi servizi al cliente principale dell’azienda, la compagnia assicurativa Aviva. Alla vigilia della presentazione, Neale ha hackerato i telefoni cellulari di circa 900 dipendenti di Aviva, cancellando tutte le informazioni presenti sui dispositivi.

Dopo l’incidente, Aviva ha interrotto qualsiasi relazione professionale con Esselar; inoltre, ha fatto causa all’azienda per ottenere un risarcimento di 70 mila sterline. In realtà, a causa del danno di immagine e per via dei danni potenziali, è stato calcolato che le perdite subite da Esselar ammontino a 500 mila sterline. L’azienda ha persino considerato di ricorrere a un rebranding in seguito all’attacco di Neale.

Dati cancellati: azione rapida e molto costosa

Attenzione anche ai dipendenti che sospettano di venire licenziati da lì a poco. Mary Lupe Cooley, assistente di direzione di uno studio di architettura, ha visto su un giornale un’offerta di lavoro per la sua posizione e tra i dati di contatto c’era proprio il numero di telefono del suo capo.

Deducendo da ciò che sarebbe stata presto licenziata, Cooley ha cancellato i dati dei progetti sviluppati negli ultimi sette anni dallo studio, provocando danni economici di 2,5 milioni di dollari. A proposito dell’offerta di lavoro, l’annuncio riguardava un posto libero nell’azienda della moglie del suo capo.

Come evitare di cadere nella trappola della cyber-vendetta

Affinché gli ex dipendenti non possano danneggiare l’infrastruttura IT della vostra azienda, tenete sempre sotto controllo e fin dal primo momento tutte le autorizzazioni e i permessi di accesso che vengono concessi. Alcune regole che la compagnia dovrebbe seguire per proteggersi:

  • Tenete un registro delle autorizzazioni IT di tutti i dipendenti, oltre agli account e alle risorse a cui hanno accesso. Concedete autorizzazioni aggiuntive solo quando siete assolutamente sicuri che il dipendente ne abbia davvero bisogno e non dimenticate di segnarlo sul registro che avete creato;
  • Revisionate e rivedete periodicamente le autorizzazioni concesse, revocando quei permessi di accesso ormai obsoleti;
  • Utilizzate solamente indirizzi e-mail aziendali per attivare risorse aziendali. Non importa quali siano i vantaggi offerti da un account personale o quanto vi fidiate del vostro dipendente, tenete sempre in considerazione che c’è una relazione professionale in corso, relazione che prima o poi potrebbe concludersi. Nomi di dominio, account sui social media e dashboard per il controllo dei siti Internet sono di proprietà dell’azienda e l’idea di affidare il tutto allo staff è un’idea nient’affatto lungimirante;
  • Bloccate il prima possibile tutte le autorizzazioni di accesso e gli account degli ex dipendenti, l’ideale sarebbe nel momento in cui il dipendente viene informato del licenziamento;
  • Non rivelate apertamente informazioni circa eventuali ristrutturazioni del personale o licenziamenti imminenti. Inoltre, quando pubblicate un’offerta di lavoro per la vostra azienda ricordate che non solo i futuri candidati vedranno l’annuncio, ma anche chi già lavora per voi;
  • Cercate di mantenere dei buoni rapporti con tutti i dipendenti e di creare un ambiente gradevole sul posto di lavoro. Gli attacchi informatici di un ex dipendenti spesso non sono motivati dal desiderio di guadagno, ma dal risentimento.