在美国科技行业，被裁员或解雇时，员工的数字凭证往往在其知晓丢工作之前就已经被注销——无法登录公司系统往往是一个人得知自己被裁的第一信号。虽然这不是一种慷慨或人性化的裁员方式，但背后有一个简单的事实支撑：被解雇但仍能访问公司系统的员工是一个严重的安全风险。这一点，正在经历裁员的双胞胎兄弟阿赫特尔（Akhter）可谓给出了一个极端的证明——他们被指控在两人被裁后数分钟内，删除了托管美国政府信息的96个数据库。

阿赫特尔双胞胎兄弟穆尼布（Muneeb）和索海布（Sohaib）今年均为34岁，此前已有案底。2015年，两人在弗吉尼亚州承认涉及电线欺诈和计算机犯罪的罪行认罪协议，穆尼布被判处三年监禁，索海布则获得两年。从监狱出来后，两人重新回到科技行业。2023年，穆尼布在华盛顿特区一家向45个联邦客户提供软件和服务的公司找到工作；一年后，索海布也入职了这家公司。

然而，根据美国政府的指控，这对兄弟无法安分守己。例如：2025年2月1日，穆尼布向索海布索要一名提交投诉者的纯文本密码——该投诉者通过平等就业机会委员会（EEOC）的公共门户网站提交了投诉，而该门户恰好由这对兄弟的雇主维护。索海布随后对EEOC数据库进行了查询，并将该密码提供给了穆尼布。该密码随后被用于未经授权访问该个人的电子邮件账户。

这不是一次偶发事件。穆尼布一直在收集用户名和密码——从他自己公司的网络数据中获取了5400个登录凭证。然后他构建了自定义Python脚本，用这些登录凭证在常见网站上进行撞库测试。例如，他的"marriott_checker.py"应用程序会在万豪酒店集团等网站上测试这些登录凭证。穆尼布成功登录了数百次，包括DocuSign和航空公司账户。有时，如果受害者的账户中有航空里程，穆尼布会为自己预订行程。

这对兄弟的雇主似乎在2月份的某个时间点发现了他们的犯罪前科。2025年2月18日，住在弗吉尼亚的两兄弟被同时召入一个微软Teams会议，随即被解雇。会议在当天结束时结束，下午4点50分结束。五分钟后，索海布试图访问他（前）雇主公司的网络——但发现VPN访问和Windows账户已被终止。

然而，穆尼布的账户被忽略了。穆尼布立即开始了一场"破坏行动"。下午4点56分，他访问了公司维护的一个美国政府数据库。他"发出命令，阻止其他用户连接或更改数据库，然后发出删除数据库的命令"。下午4点58分，他使用命令"DROP DATABASE dhsproddb"删除了国土安全部的一个数据库。下午4点59分，他问一个人工智能工具："How do i clear system logs from SQL servers after deleting databases?"随后又问："How do you clear all event and application logs from Microsoft windows server 2012?"

在一个小时内，穆尼布删除了大约96个包含美国政府信息的数据库。他下载了属于EEOC的1805个文件，并将它们藏在U盘上，然后获取了至少450人的联邦税务信息。

就在这一切发生时，兄弟俩保持着一场持续的对话。"我看到你在清理他们的数据库备份，"索海布在观看穆尼布的工作时说。随着数据库被删除的数量增加，索海布说："好吧——如果你有很好的推诿余地的话。"穆尼布似乎并不认为自己的行为是什么大事。"呃，他们可以从昨天恢复过来，"他说，指的是每日数据库备份。"是啊，他们可以，"索海布表示同意。穆尼布注意到他们认识的一位员工在破坏被揭露后将"需要做一些工作"。索海布给穆尼布提供了更多建议。"也把他们的文件系统删了？"他说。"好主意，"穆尼布说。索海布随后想知道他们是否太过仓促。他说："你本来应该有一个删除脚本。比如说，敲诈他们一些钱本来可以是——" "不，你不能那样做，那是犯罪的证据，伙计，"穆尼布说。"不，但问题是，你总是有你自己的意见，"索海布抱怨道，随后两人开始争论是否应该敲诈他们公司的客户。随着数据破坏的继续，索海布说："他们可能会突击搜查这个地方。""我会清理干净这些烂摊子，"穆尼布说。

在删除数据库和事件日志后，兄弟俩在一个不知名同谋者的帮助下，用新操作系统重新安装了公司笔记本电脑。索海布说对了——联邦调查局确实突击搜查了他们。只是用了三周时间。2025年3月12日，搜查令在索海布位于亚历山大市的家中执行。特工们缴获了大量科技设备，但也发现了7支枪支和370发30口径弹药。鉴于他此前的犯罪记录，索海布本不应该拥有这些武器。

这对兄弟在调查继续进行期间又自由了九个月，但最终于12月3日被捕，并被起诉犯有大量罪行。穆尼布于2026年4月15日签署认罪协议，承认了起诉书中主要指控。索海布则选择对簿公堂。他输了——2026年5月7日，一个陪审团认定他犯有共谋计算机欺诈、密码贩卖和作为被禁止人员持有枪支的罪行。他将于9月被判刑。

此案提出了一个关于企业安全管理的严峻问题。为什么这对有计算机犯罪前科的人能够进入一个为政府客户提供服务的IT职位？为什么在发现他们的背景后，雇主没有立即撤销他们的访问权限？更根本的问题是：一个人的账户为什么可以在公司数百个数据库中拥有如此广泛的删除权限，而没有任何实时监控或异常检测机制？

从技术角度看，这个案例揭示了"最小权限原则"在企业实践中往往沦为空话。穆尼布能够删除96个数据库，说明他的账户被赋予了远超其工作需要的权限。同时，"备份恢复"虽然是标准实践，但无人想过问：为什么一个被解雇员工在"错误时机"拥有如此完整的系统访问能力？

更深一层看，这个案例还暴露了另一个正在浮现的风险：生成式人工智能工具可能被滥用来消除电子痕迹。当穆尼布在删除数据库后立即向AI询问如何清除系统日志时，这种"事后请教"的模式值得所有AI服务提供商警惕——系统是否应该对可疑请求进行某种形式的标注或限制？

无论如何，这对兄弟将为其行为付出沉重代价——对于穆尼布来说，认罪协议意味着即将入狱；对于索海布来说，牢狱之灾几乎已成定局。而对于所有拥有敏感系统访问权限的员工来说，这个案例是一个关于"权限与责任"的警示：那些能够访问和破坏系统的人，同时也是对系统安全负有最大责任的人。

来源：Ars Technica
https://arstechnica.com/tech-policy/2026/05/drop-database-what-not-to-do-after-losing-an-it-job/