转自：CSDN（ID：CSDNnews） 如果说网络攻击里有一种最难防、最令人头疼的威胁，那大概率不是勒索病毒、APT 组织，也不是零日漏洞，而是 —— 你的前同事。 2021 年 5 月发生在美国休斯敦的一起内部 员工攻击 事件，直到 最近 才随着法院审理推进而完全曝光 ： 一家业务覆盖美国全国的大型企业， 在短 短几分钟内被打回"未激活状态"，造成 86.2 万美元（约人民币 613 万元）直接损失，并触发业务连续性危机。 而 这件事的 肇事者，只是一名被开 除的 IT 外 包人员。 外包被解雇后 ， 又 轻松回到内网 根据美国司法部（DOJ）文件，这名 IT 外包名为 Maxwell Schultz，现年 35 岁，来自美国俄亥俄州 ， 曾 作为 一名 合约工 ， 为 一家大型企业 的 IT 部门 提供 技术支持工作 。 虽然 DOJ 并未直接点名，但多家地方媒体 推测 ，这家公司正是 美国废物管理公司 Waste Management（简称 WM）。 2021 年 5 月 14 日，时年 31 岁的 Maxwell Schultz 被原公司解除合约 ，账号权限也按流程立即被撤销。 按理说， 故事 到这 ...

整理 | 郑丽媛 出品 | CSDN（ID：CSDNnews） 如果说网络攻击里有一种最难防、最令人头疼的威胁，那大概率不是勒索病毒、APT 组织，也不是零日漏洞，而是——你的前同事。 外包被解雇后 ， 又 轻松回到内网 根据美国司法部（DOJ）文件，这名 IT 外包名为 Maxwell Schultz，现年 35 岁，来自美国俄亥俄州 ， 曾 作为 一名 合约工 ， 为 一家大型企业 的 IT 部门 提供 技术支持工作 。 虽然 DOJ 并未直接点名，但多家地方媒体 推测 ，这家公司正是美国废物管理公司 Waste Management（简称 WM）。 2021 年 5 月 14 日，时年 31 岁的 Maxwell Schultz 被原公司解除合约 ，账号权限也按流程立即被撤销。 按理说， 故事 到这里就应该结束 ： 毕竟 一般而言 ， 公司在解雇员工或外包时， 会 同步完成账号权限回收与系统级权限吊销 ； 然而 ， 现实的企业 安全管理往往并不 会 "按理说" 。 2021 年 5 月发生在美国休斯敦的一起内部 员工攻击 事件，直到 最近 才随着法院审理推进而完全曝光 ： 一家业务覆盖美国全国的大型企业 ...

Core Insights - The article highlights the increasing threat of insider attacks, particularly from disgruntled former employees or contractors, as exemplified by the case of Maxwell Schultz, who caused significant operational disruption to a major company after being terminated [1][7]. Group 1: Incident Overview - In May 2021, a major company in the U.S. experienced a cyber attack that resulted in a direct loss of $862,000 (approximately 6.13 million RMB) due to an internal employee's actions [1][4]. - The attacker, Maxwell Schultz, was a former IT contractor who exploited weaknesses in the company's access control processes to regain entry into the internal network [2][3]. Group 2: Attack Methodology - Schultz utilized his knowledge of the internal system to impersonate another contractor and obtained new login credentials, allowing him to access the company's network [2]. - He executed a PowerShell script that reset passwords for approximately 2,500 accounts, leading to a complete operational halt across the company [3][4]. Group 3: Consequences of the Attack - The attack resulted in widespread employee downtime, as thousands were unable to log into their computers, leading to significant payroll costs without productivity [4][5]. - The customer service system was severely impacted, as it relied heavily on internal systems that became inaccessible due to the password resets [6]. - Recovery efforts incurred substantial costs, including the need for IT teams to restore accounts and investigate the breach, which could take days or weeks [6][7]. Group 4: Broader Implications - The incident underscores a growing trend of insider threats, particularly in industries that rely on outsourced labor with elevated access privileges [7]. - Companies often focus on technical defenses like firewalls and intrusion detection but may neglect the human element, especially concerning former employees with insider knowledge [7][8].