עובד דיסני שניצל הרשאות ושינה מידע על אלרגנים ירצה שלוש שנות מאסר
עובד שפוטר בחודש יוני שינה מידע על אלרגנים בתפריטים של מסעדות בפארקים של דיסני וסיכן חיי אדם. כעת הוא הודה והורשה בהונאת מחשוב וגניבת זהות וגם ישלם קנס של כ-690 אלף דולר
תמונה: dreamstime
ניהול הרשאות ועובדים מפוטרים זה עסק מסוכן, ולאחרונה הוכח כי מדובר אפילו בסיכון חיי אדם. ביוני האחרון חברת דיסני פיטרה את מייקל שוייר, שהיה אחראי על הפקת תפריטים בחברה בעקבות מה שהיא כינתה "התנהגות לא ראויה". החברה לא שינתה את הרשאות הגישה של העובד (לשעבר) הממורמר, ושוייר, ניצל את ההרשאות שלו כמנהל תפריטים בדיסני, ביצע שינויים לא מורשים בתפריטי אלרגנים, הסיר מידע על אלרגיות לבוטנים, שינה פונטים ומחירים ואף הוסיף שפה גסה. דיסני טענה עוד כי שוייר גם ניסה לחסום גישה למערכות החברה עבור עובדים אחרים באמצעות מתקפות דיגיטליות. שוייר טען שהוא חף מפשע וכי החברה “תפרה לו תיק”.
באוקטובר 2024 הוא נעצר והואשם לפי חוק הונאות המחשבים האמריקאי (CFAA) בגישה לא מורשית למערכות ה־IT של דיסני, וכן בגניבת זהות חמורה. בינואר האחרון הוא הודה באשמה במסגרת עסקת טיעון, הורשע בהונאת מחשב וסעיף של גניבת זהות והשבוע נפסק דינו – שלוש שנות מאסר וקנס בסכום של 688 אלף דולר.
כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime
הקריס את האפליקציה של דיסני לשבועיים
לפי ההודאה שלו, שוייר נכנס בחודש יולי למערכת התפריטים (שמאוחסנת אצל ספק צד שלישי במינסוטה), ופתח במסע נקמה. בין השאר, הוא שינה את הגופנים הרגילים לגופן Wingdings, שיבש תצוגות רקע, הפך את כל התפריטים לדפים לבנים וגרם לקריסת האפליקציה לשבועיים. דיסני, מן הסתם, הפסיקה להשתמש בה מאז.
במהלך החדירה לשרתים, שוייר קיבל גישת אדמין והמשיך לשנות תפריטים גם לאחר שנחסמה כניסתו למערכת המרכזית. בין השינויים שביצע: שינוי מחירים, שיבוש מידע על אלרגנים (למשל סימון מנות כמתאימות לבעלי רגישות מסוימת — דבר שעלול היה להיות קטלני), והוספת תכנים גרפיים קיצוניים כולל צלב קרס.
בשלב מאוחר יותר ביצע תקיפה נוספת על שרת SFTP שונה, במסגרתה שינה קודי QR בתפריטים כך שיובילו לאתר שקורא לחרם על ישראל. לפי כתב האישום, כמה מהתפריטים שהשתנו הספיקו להיות מודפסים, אך ככל הידוע אף אחד מהם לא הופץ בפועל.
ולא רק גרפיקה: שוייר הפעיל סקריפט תקיפה אוטומטי שביצע למעלה מ־100,000 ניסיונות כניסה שגויים לחשבונות עובדים של דיסני, והוביל לנעילת הגישה עבור 14 מהם.
ה־FBI ביצע חיפוש בביתו בספטמבר, וכמה דקות לפני שהסוכנים דפקו בדלת מתקפת ה־DoS שלו פשוט "נעלמה". בדירה נמצאו מכונות וירטואליות, קובץ doxxing עם פרטים של עובדים ואמא של אחת מהם, וכל מה שצריך בשביל סיום מושלם לסיפור ביזארי במיוחד.
שוייר ירצה שלוש שנות מאסר, ואחריהן שלוש שנות פיקוח, עם איסור מוחלט על יצירת קשר עם דיסני או עם מי מהקורבנות. דיסני, מצידה, כנראה תסתפק בשקט ובתפריטים נטולי Wingdings.
