Co dokładnie zrobił Davis Lu?

Davis Lu przez lata pracował w amerykańskim oddziale firmy Eaton Corporation jako programista. Z pozoru zwykły specjalista IT, jednak już w 2019 roku - jak wykazali śledczy zaczął planować „plan awaryjny” na wypadek zwolnienia. Wprowadził do infrastruktury firmy specjalny kod, tzw. „kill-switch”, czyli mechanizm, który miał się uaktywnić w momencie, gdy jego konto użytkownika zostanie usunięte z systemu.

Całość była sprytnie podpięta pod centralne miejsce zarządzania kontami w dużych firmach. Gdy Lu został zwolniony i jego profil został dezaktywowany, kod odpalił się jak bomba z opóźnionym zapłonem. W efekcie czego serwery zaczęły się zawieszać, pliki zostały usunięte, a część pracowników została odcięta od systemu.

Śledczy odkryli nawet, że jeden z wyzwalaczy nazwany był „IsDLEnabledinAD”. To skrót od inicjałów sprawcy (DL), co wprost wskazywało na jego autorstwo. Ponadto śledzczy udowodnili też, że Lu już wcześniej szukał w internecie informacji o przejęciu uprawnień, ukrywaniu procesów i szybkim kasowaniu plików – czyli wszystkiego, co pomaga przykryć ślady po informatycznym sabotażu.

Cztery lata za kratkami i nadzór po opuszczeniu więzienia

Sprawa toczyła się przez kilka lat, a Lu do końca nie przyznawał się do winy. Jednak w marcu 2025 roku sąd uznał go za winnego celowego uszkodzenia chronionych komputerów. Nie był to jednak koniec tej historii, ponieważ dopiero w sierpniu tego roku zapadł ostateczy i prawomocny wyrok – który był bezlitosny dla mściwego informatyka. Spędzi on w więzieniu najbliższe 4 laty, a przez kolejne 3 lata po wyjściu będzie sprawowany nad nim nadzór.

Tak solidna kara wynika z tego, że jego były pracodawca poniósł straty liczone w setkach tysięcy dolarów. Dodatkowo odkryto, że Lu zaszyfrował dane na swoim służbowym laptopie i próbował zniszczyć część dowodów, co jeszcze bardziej go obciążyło.

Wnioski dla firm i pracowników

Ta historia brzmi jak przedziwna anegdota, ale to poważna lekcja dla każdej firmy, niezależnie od branży. Wnioski są proste – kontrola dostępu powinna być codziennością, a pracownicy powinni mieć wyłącznie takie uprawnienia, jakie są im naprawdę potrzebne. Równie ważny jest odpowiednie rozłożenie kontroli, bo każdy fragment automatyzacji powinien być weryfikowany przez więcej niż jedną osobę. Istotne jest też tzw. offboarding, czyli procedura odcięcia dostępu pracownikowi w momencie zwolnienia – obejmuje to konta, tokeny, klucze i wszystkie hasła. Nie można też zapominać o monitoringu, który pozwala wykrywać nietypowe zadania i wpisy w systemach, wyglądające z pozoru niewinnie, a w rzeczywistości mogące być początkiem informatycznej dywersji. Właśnie te „banalne” zasady mogą zdecydować o przyszłości firmy.

Natomiast sam pracownik ukazał nam się jako swoisty „final boss” zemsty. Nie brał jeńców i pokazał, że nie powinno się z nim zadzierać.