מפתח תוכנה הורשע בחבלה פלילית לאחר שהתקין "מתג השמדה" ברשת המעסיק לשעבר

מפתח בן 55 עומד בפני עד עשר שנות מאסר לאחר שיצר קוד זדוני שהופעל אוטומטית כשפוטר

פנטזיית הנקמה במעסיק שפיטר אותך עלולה להסתיים בכלא. דייויס לו, מפתח תוכנה בכיר מטקסס, הורשע על ידי חבר מושבעים פדרלי בקליבלנד לאחר שהתקין "מתג השמדה" במערכות חברת אייטון (Eaton Corporation) – חברה בינלאומית לניהול אנרגיה – שהופעל אוטומטית ביום שבו פוטר. כעת הוא עומד בפני עונש של עד עשר שנות מאסר בגין גרימת נזק מכוון למחשבים מוגנים.

בעקבות ארגון מחדש: מפתח חשש מפיטורים והכין "מלכודת"

דייויס לו, תושב יוסטון בן 55, החל לעבוד בחברת אייטון בנובמבר 2007. קריירה שנמשכה כעשור זרמה על מי מנוחות עד שנת 2018, אז עברה החברה "ארגון מחדש תאגידי" שהוביל לצמצום תפקידו של לו, הפחתת תחומי אחריותו והגבלת הגישה שלו למערכות המחשוב של החברה.

לפי תיאור משרד המשפטים האמריקאי, אירועים אלו הובילו את לו לחשוש כי החברה עלולה בסופו של דבר לפטר אותו לחלוטין. במקום להתמודד עם האפשרות הזו בצורה לגיטימית, הוא החליט להתקין תוכנות זדוניות במערכות החברה שיופעלו במקרה שיפוטר.

"מתג השמדה" תחת שם קוד מתוחכם

הקוד הזדוני שהוסיף לו יצר לולאות אינסופיות (קוד שנועד למצות את משאבי המערכת על ידי יצירה חוזרת ונשנית של תהליכים חדשים ללא סיום נאות, מה שגורם לקריסת שרתים), מחק קבצי פרופיל של עמיתיו לעבודה, ויישם "מתג השמדה" שינעל את כל המשתמשים – ברגע שהוא יזהה שהמשתמש שלו הוסר מרשימת המשתמשים הפעילים של החברה.

באופן אירוני, לו לא ניסה אפילו להסוות את כוונותיו כשבחר את שם הקוד למתג ההשמדה: "IsDLEnabledinAD", ראשי תיבות ל-"האם דייויס לו פעיל בספריית המשתמשים הפעילים". כפי שהשם מרמז, הקוד בדק שחשבונו של לו פעיל במערכת. אם היה פעיל, לא קרה דבר. אך ברגע שחשבונו יושבת – המערכת הייתה אמורה לקרוס.

למתקפות שלו העניק לו שמות קוד מתוחכמים נוספים: אחת התוכנות הזדוניות כונתה "Hakai", המילה היפנית להרס. תוכנה אחרת נקראה "HunShui", מהמונח הסיני לשינה.

הפיטורים הפעילו את המתקפה הגלובלית

ב-9 בספטמבר 2019, העסקתו של לו הופסקה, מה שהפעיל את מתג ההשמדה שיצר בדיוק למקרה כזה. לפי אתר החדשות Cleveland.com, האירוע גרם לחברה הפסדים בסך מאות אלפי דולרים והשפיע על אלפי משתמשים ברחבי העולם – המטה הגלובלי של אייטון נמצא בדבלין, אירלנד. עורכי הדין של ההגנה טענו שהתקרית עלתה לחברה פחות מ-5,000 דולר, אך חבר המושבעים לא השתכנע.

לו גם הצפין את הנתונים במחשב הנייד שקיבל מהחברה ביום שהונחה לכבות את המכשיר ולהחזירו. היסטוריית החיפושים שלו באינטרנט חשפה שחיפש שיטות להעלאת הרשאות, להסתרת תהליכים, ולמחיקה מהירה של קבצים. לפי התביעה, לאחר שפוטר, לו גם ניסה למצוא דרכים למנוע מעמיתיו לעבודה לתקן את הבעיות שגרם.

הרשעה לאחר משפט של שישה ימים

לו הואשם על ידי תובעים פדרליים בשנת 2021. לאחר משפט שנמשך שישה ימים, הוא נמצא אשם בגרימת נזק מכוון למחשבים מוגנים, האשמה שנושאת עונש מרבי של 10 שנות מאסר. תאריך לגזר הדין טרם נקבע.

"לצערנו, דייויס לו השתמש בהשכלתו, ניסיונו ומיומנויותיו כדי לפגוע ולהפריע במכוון לא רק למעסיק שלו וליכולתם לנהל עסקים בבטחה, אלא גם לשתק אלפי משתמשים ברחבי העולם", אמר סוכן מיוחד גרג נלסן מה-FBI.

מסקנה: תג מחיר כבד לנקמה דיגיטלית

המקרה של לו מדגיש את הסיכונים החמורים שבניסיון לנקום במעסיק לשעבר באמצעים דיגיטליים. למרות שהפנטזיה על נקמה במעסיק שפיטר אותך עשויה להיראות מפתה, המציאות היא שמעשים כאלה נחשבים לפשעים חמורים עם השלכות כבדות משקל.

עורכי הדין של לו הודיעו כי בכוונתם לערער על פסק הדין, אך בינתיים המקרה משמש תזכורת בוטה לכל אנשי הטכנולוגיה: השימוש במיומנויות טכניות לצורך נקמה או חבלה עלול להוביל לא רק לסיום קריירה, אלא גם לתקופה ארוכה מאחורי סורג ובריח.