被开除5分钟后，34岁工程师一口气删掉96个“国家级数据库”，转头问AI：日志怎么清？

整理 | 郑丽媛

出品 | CSDN（ID：CSDNnews）

如果你是公司的 IT 管理员，员工被开除后的第一件事应该是什么？结清工资？收回工卡？不——最紧急的是：立刻注销他的所有系统账号。

这个道理几乎人人都懂，但有一家为美国政府服务的科技公司偏偏忘了。结果就是：一对双胞胎兄弟在被解雇后的几分钟内，用几行 SQL 命令，删掉了 96 个存放美国政府信息的数据库。

上班还“兼职”黑客，收集了5400组密码

故事的主角是现年 34 岁的 Muneeb Akhter 和 Sohaib Akhter——一对长得几乎一模一样的双胞胎兄弟。不过，他们相似的不只是长相，还有犯罪履历。

早在 2015 年，这对兄弟就在弗吉尼亚州承认了电信欺诈和计算机相关罪名。Muneeb 被判入狱 3 年，Sohaib 也吃了 2 年牢饭。出狱后，两人倒是没有自暴自弃，而是“励志”地重新杀回了科技行业。

2023 年，Muneeb 入职了华盛顿特区的一家科技公司，这家公司专为 45 家联邦客户提供软件和服务。一年后，Sohaib 也加入了同一家公司。

看起来，这是一个浪子回头的故事开头——但剧本很快就跑偏了。

根据美国政府的指控，这兄弟俩在工作中并没有安分守己，尤其是 Muneeb。例如 2025 年 2 月 1 日，Muneeb 曾向 Sohaib 索要一名投诉人的明文密码。这名投诉人曾向平等就业机会委员会（EEOC） 的公共门户提交过投诉，而该门户由兄弟俩的公司维护。Sohaib 二话没说，在 EEOC 数据库里执行了查询，然后把密码交给了 Muneeb，随后他未经授权访问了这名投诉人的电子邮箱。

这种事不是一次两次。Muneeb 一直在收集用户名和密码——足足 5400 份，都是从自己公司的网络数据里扒来的。他还写了自定义的 Python 脚本，用这些登录信息去试各种常见网站。比如，他写了一个 marriott_checker.py，专门用来测试万豪酒店的账户登录。据悉 Muneeb 成功登录了数百次，包括 DocuSign 和一些航空公司的账户，有些受害者账户里存有航空里程，Muneeb 就直接拿来给自己订机票。

加入 AI 开发者计划，免费领 50 小时云算力券

进群月月抽显卡、AIPC，好运不停！

开除会议结束，只有一个人的账号被停用

纸终究包不住火。2025 年 2 月 18 日，公司终于发现了这两兄弟的犯罪前科和他们正在干的“副业”。当天临近下班，兄弟俩被拉进一个 Microsoft Teams 会议。会议在下午 4 点 50 分结束，通知很简短：你们被开除了。

如果这是一次标准的解雇流程，IT 部门应该在会议开始前甚至更早，就冻结两人的所有访问权限。但现实是：Sohaib 的账号被及时注销了，Muneeb 的账号却神奇地活了下来。

下午 4 点 55 分，也就是被开除 5 分钟后，Sohaib 尝试登录公司网络，发现内网账户和 Windows 账户均已失效；而 Muneeb 轻轻一点——登进去了。

对于一名手握 5400 组密码、会写 Python 脚本、且刚刚被炒了鱿鱼的前员工来说，这个“疏忽”意味着什么？答案在接下来的 60 分钟里揭晓。

一小时内删除96个数据库，还问 AI 怎么删日志

下午 4:56——也就是被开除后第 6 分钟，Muneeb 登录了一个由他公司维护的美国政府数据库。他先执行命令，禁止其他用户连接或修改该数据库，然后干脆利落地删掉了整个数据库。

下午 4:58，他输入了另一条命令：DROP DATABASE dhsproddb ——美国国土安全部的一个生产数据库，瞬间灰飞烟灭。

下午 4:59，他向 AI 工具发出了两个灵魂提问：

● “How do I clear system logs from SQL servers after deleting databases?”（删完数据库后，怎么清除 SQL 服务器上的系统日志？）

● “How do you clear all event and application logs from Microsoft windows server 2012?”（怎么清除 Windows Server 2012 上的所有事件和应用程序日志？）

显然，他不仅想搞破坏，还想做个“干干净净”的破坏者。

于是在接下来的一小时内，Muneeb总共删除了大约96个存放美国政府信息的数据库。他还顺手下载了 1805 份 EEOC 的文件，存到一个U盘里，然后又窃取了至少 450 人的联邦税务信息。

兄弟聊天记录：“你应该写个毁灭脚本”

在整个破坏过程中，兄弟俩一直保持着实时交流。政府没有明确说是短信、聊天软件还是当面说的，但二人的对话内容被完整记录了下来。

Sohaib 一边看着 Muneeb 的操作，一边说：“我看到你正在清理他们的数据库备份。”随着数据库一个接一个被删除，他又补了一句：“行吧，只要你有合理的否认余地就行。”

Muneeb 倒是不慌不忙：“呃，他们可以用昨天的备份恢复。”他指的是每日数据库备份。“是啊，他们可以。”Sohaib 附和道。

期间 Muneeb 还打趣道，等这事儿曝光后公司里某个同事“可有的忙了”。Sohaib 随即送上更多“创意”：“要不连他们的文件系统也删了？”Muneeb 回复：“好主意。”

接着，Sohaib 又后悔没提前准备一个“毁灭脚本”，甚至提议：“也许我们应该敲诈他们一笔钱……”Muneeb 立即打断：“不行，不能那么做，那等于留下了铁证，兄弟。”

两人随后吵了一架——争执的是改去敲诈公司的客户是否更安全。而在数据破坏接近尾声时，Sohaib 预言：“他们很可能会来搜查这个地方。”Muneeb 淡定回应：“我会把这些痕迹清理干净的。”

于是，在删完数据库和日志之后，兄弟俩在一个未具名的同谋者帮助下，把公司发的笔记本电脑重装了操作系统，试图抹掉所有活动记录。

三周后搜出7支枪，九个月后双双落网

Sohaib 的预言没错——联邦探员确实来了，只不过晚了三周。

2025 年 3 月 12 日，搜查令送达 Sohaib 位于亚历山大的家中。探员们不仅找到了大量电子设备，还意外发现了 7 支枪和 370 发 .30 口径弹药。考虑到 Sohaib 之前的重罪记录，他根本不应该拥有任何枪支弹药。

尽管如此，此后该案件进入漫长的调查期，兄弟俩居然又自由了九个月。直到 2025 年 12 月 3 日，两人同时被捕，被控多项罪名。

2026 年 4 月 15 日，Muneeb 先是签署了认罪协议，承认了起诉书中的主要指控。而 Sohaib 则选择硬刚到底，上庭打官司。结果 2026 年 5 月 7 日，陪审团裁定他罪名成立：共谋实施计算机欺诈、非法交易密码、以及被禁止人员持有枪支，他将在 9 月等待量刑。

你以为这就结束了？不，Muneeb 在监狱里又整出了新活。

他手写了好几封请愿书，首先声称自己的律师不给力。接着，又在 2026 年 4 月 27 日给法官写了一封信：“我对自己的认罪感到不安……我与我的兄弟站在一起，他是无辜的。”（结果几天后，他兄弟就被判有罪了。）

到了 5 月 5 日，他又写了两封信。第一封声称自己对第十项指控（访问 DocuSign 账户）无罪，理由是“没有从中获得任何有价值的东西”——但只字不提那 96 个数据库。第二封更离谱：他请求法庭允许自行代理，也就是自己当自己的律师。

在联邦案件中，这几乎等于“自杀式操作”，但 Muneeb 显然想再赌一把。不出意外的话，这很可能会成为他众多“好主意”中的又一个翻车现场。

公司回应：背景调查没做到位，开除方式也不对

整起事件中，雇佣兄弟俩的公司一直未被法庭文件公开点名，但媒体后来确认是 Opexus。

该公司在事后向网络安全媒体 Cyberscoop 承认：虽然做了背景调查，但“应该做更进一步的尽职调查”；同时，“解雇的处理方式不当”；此外，“负责招聘这对双胞胎的人员已不在 Opexus 任职”。

一句话总结：招人的没查干净，开人的没关账号，给两个有前科的罪犯留下了 96 个数据库的操作权限。

最后，通过这件事，一个安全圈的老段子再次被验证：“开除员工前，先注销账号；而不是注销账号前，先开除员工。”一旦顺序搞反了，后果就是——96 个政府数据库，一小时内，化为乌有。

参考链接：https://arstechnica.com/tech-policy/2026/05/drop-database-what-not-to-do-after-losing-an-it-job/

邀你入驻AI开发者平台！

完成身份认证即有机会领9.9元瑞幸咖啡券

技术人专属灵感补给，名额有限，立即扫码领取

ps.咖啡券会在 48 个小时的工作日统一发送至注册邮箱