事件概述 - 2021年5月美国休斯敦发生一起由前IT外包人员发起的内部攻击事件，造成直接损失86.2万美元（约人民币613万元）并引发业务连续性危机[1] - 攻击者Maxwell Schultz在被解雇后，利用系统漏洞重新进入公司内网并执行PowerShell脚本，导致约2500个账号密码被重置，使公司业务瞬间停摆[1][5] - 案件已移交美国联邦地区法院，预计2026年1月30日宣判，攻击者可能面临最高10年联邦监禁和25万美元罚款[7] 攻击手法与影响 - 攻击者利用企业对前外包人员权限回收不彻底的漏洞，冒充其他外包人员获取新凭证重新进入系统[4] - 通过执行一段自编的PowerShell脚本，一次性重置约2500个账号密码，导致所有员工电脑被踢下线、登录尝试失败、从客户服务到现场运维等所有业务停摆[5] - 造成的86.2万美元损失主要包括员工停工薪酬成本、客户服务体系瘫痪以及恢复网络的人工成本[6] 行业警示与趋势 - 此类因不满被解雇而发起的“内鬼攻击”正在快速增加，尤其在依赖外包且外包人员权限较高的能源和科技行业[7] - 多数公司关注防火墙、入侵检测等传统安全机制，但往往忽略对前员工、前外包人员权限回收的重视，尤其是曾拥有较高权限、了解内部流程的工程师[7][8] - 内部威胁攻击不需要高级技术，熟悉内部系统弱点的人员情绪失控即可用简单方式造成严重后果，例如美国最大加密货币交易所Coinbase内鬼事件导致损失超4亿美元，FinWise银行前员工窃取数据致70万用户信息泄露[7][9]