Miklos Daniel Brody, ingénieur cloud, a été condamné à deux ans de prison et à une restitution de 529 000 dollars pour avoir effacé les référentiels de code de son ancien employeur en représailles à son licenciement par l'entreprise.
First Republic Bank était une banque commerciale aux États-Unis, employant plus de sept mille personnes et générant un chiffre d'affaires annuel de 6,75 milliards de dollars. La banque a fermé ses portes le 1er mai 2023 et a été vendue à JPMorgan Chase.
Selon l'annonce du ministère américain de la Justice (DoJ), Brody a été licencié le 11 mars 2020 de la First Republic Bank (FRB) à San Francisco, où il travaillait comme ingénieur cloud.
Le documents judiciaires déclarent que l'emploi de Brody a été licencié après qu'il ait violé les politiques de l'entreprise en connectant une clé USB contenant de la pornographie aux ordinateurs de l'entreprise.
Suite à son licenciement, Brody aurait refusé de restituer son ordinateur portable de travail et aurait utilisé son compte encore valide pour accéder au réseau informatique de la banque et causer des dommages estimés à plus de 220 000 dollars.
« Entre autres choses, Brody a supprimé les référentiels de codes de la banque, a exécuté un script malveillant pour supprimer les journaux, a laissé des railleries dans le code de la banque pour d'anciens collègues et s'est fait passer pour d'autres employés de la banque en ouvrant des sessions en leur nom », décrit le Annonce du DOJ américain.
« Il s'est également envoyé par courrier électronique le code bancaire exclusif sur lequel il avait travaillé en tant qu'employé, et qui était évalué à plus de 5 000 dollars. »
Jusqu'à ce que son accès au réseau FRB soit finalement interrompu le 12 mars 2020, Brody avait effectué les actions suivantes :
- Exécution d'un script malveillant nommé « dar.sh » pour effacer les serveurs de FRB
- Journaux git supprimés et historique des commits git pour le script particulier
- Accès au référentiel GitHub de FRB et suppression du code hébergé
- Insertion de « railleries » dans le code, y compris des références à « grok »
- Usurpation de l'identité d'un autre ingénieur cloud chez FRB pour accéder au réseau de l'entreprise et apporter des modifications à la configuration
Après l'incident, Brody a faussement signalé au service de police de San Francisco que l'ordinateur portable délivré par le FRB avait été volé dans sa voiture.
Il a continué à soutenir cette histoire lorsqu’il a été interrogé par des agents des services secrets américains après son arrestation en mars 2021.
Finalement, en avril 2023, Brody a plaidé coupable d'avoir menti à propos de l'ordinateur portable et de deux accusations concernant la violation de la loi sur la fraude et les abus informatiques.
En plus de la peine de deux ans de prison et du paiement de la restitution, Brody purgera trois ans de liberté surveillée.