前迪士尼员工因对老鼠菜单的愚蠢攻击而被判处 3 年监禁

快速阅读: 据《The Register》称，前迪士尼员工迈克尔·谢勒因破坏公司用于制作餐厅菜单的软件，被判36个月监禁及近68.8万美元罚款。他通过多种方式篡改菜单数据，甚至加入危险内容，导致系统停运。此外，他还发起拒绝服务攻击影响多名员工。服刑后，他将接受三年监督释放，不得接触相关公司及个人受害者。

前迪士尼员工迈克尔·谢勒因破坏娱乐巨头用于制作餐厅菜单的软件应用程序，被判处三十六个月监禁，并罚款近六十八万八千美元。

谢勒是佛罗里达州温特花园市居民，于去年十月被捕，并被控违反美国《计算机欺诈与滥用法》（CFAA），未经授权访问迪士尼的IT系统，以及加重身份盗窃罪。一份刑事诉状[PDF]提交给佛罗里达州奥兰多联邦法院。法院在一月份接受了谢勒对CFAA和身份盗窃指控认罪的协议。判刑上周进行。

在2024年6月13日因不当行为被解雇之前，谢勒曾担任迪士尼菜单生产经理。根据迪士尼的说法，解雇过程充满争议且不友好。七月份，正如其认罪协议[PDF]中所述，谢勒通过一家位于明尼苏达州的不明第三方公司托管的菜单创建应用程序，未经授权修改了迪士尼餐厅菜单以进行报复。这些修改包括用“Wingdings”字体替换菜单创建器配置文件指定的字体。

“当启动菜单创建器时，它会联系配置文件以检索认为正确的字体；相反，它检索到的是被更改后的字体文件，”认罪协议解释道。“这些字体更改在整个数据库中传播，导致每个菜单都显示相同的通用字体，而不是应用到每个菜单的主题字体。此外，在推送字体更改期间，菜单创建器系统变得无法使用。”

谢勒还对菜单图像和背景文件进行了修改，使得它们加载为空白页面。该应用程序因修复问题停运了一到两周，迪士尼不再使用它。为了结束最初的攻击，动画巨头限制了对该应用程序的访问并重置了密码。

谢勒能够以三种方式攻击该应用程序：一是通过管理员账户，利用名为Mullvad的商业虚拟专用网络（VPN）访问；二是通过为承包商提供的基于URL的访问机制。调查人员并不特别困惑于Mullvad VPN的使用。认罪协议指出，“此次攻击所使用的IP地址与谢勒过去登录其[迪士尼]电子邮件账户的IP范围相同，这也是一个Mullvad IP地址。”

第三种方法涉及针对不明菜单创建器供应商维护的安全文件传输协议（SFTP）服务器，存储准备打印或在菜单屏幕上显示的菜单文件。在初次入侵期间，谢勒获得了SFTP服务器的管理权限。在被锁定出菜单创建器应用程序后，他利用此访问权限更改了文件服务器上存储的菜单。

“谢勒对菜单所做的更改包括过敏原信息和定价的更改，”认罪协议称。“至于前者，谢勒在菜单项目中标注它们适合特定过敏人群食用，这可能根据客户的过敏类型和严重程度造成致命后果。”

其他修改包括将葡萄酒产区更改为与大规模枪击事件相关的地区，并添加包括卐字在内的图形。后续针对另一台SFTP服务器的攻击涉及更改菜单上的二维码，以加载一个推广抵制以色列的网站。认罪协议表明，虽然某些被修改的菜单已打印，但相信所有菜单都在分发前被发现。

谢勒还进行了拒绝服务（DoS）攻击，意图阻止迪士尼员工登录企业账户。他运行了一个自动化攻击脚本，进行了超过十万次错误的登录尝试，试图锁定这些账户。据说有十四名员工因此受到影响。

法院文件称，联邦调查局于2024年9月23日向谢勒住所发出搜查令，“DoS攻击在探员首次接触谢勒几分钟前停止，并且自他的电脑被扣押以来没有重启。”探员报告发现各种用于实施攻击的虚拟机以及包含五名迪士尼员工个人信息的泄密文件。

在他服刑期满后，谢勒面临三年的监督释放，其中包括禁止与公司及其个人受害者接触等条件。

(以上内容均由Ai生成)