3 lata za włamanie i zmianę menu w Disneylandach. Myślał, że VPN go uchroni

Michael Scheuer, były kierownik produkcji menu w Walt Disney Company, został skazany na trzy lata więzienia federalnego oraz niemal 688 tysięcy dolarów grzywny za cyberatak na infrastrukturę technologiczną giganta rozrywkowego. Mężczyzna celowo zniszczył aplikację używaną do zarządzania menu restauracji w parkach Disneya, powodując poważne zakłócenia i potencjalne zagrożenia dla zdrowia gości.

Scheuer, mieszkaniec Winter Garden na Florydzie, przyznał się do zarzutów w styczniu br. i został skazany w ubiegłym tygodniu. Odpowiadał przed sądem federalnym w Orlando za naruszenie przepisów ustawy o oszustwach komputerowych i nadużyciach (CFAA) oraz za kradzież tożsamości. Do aresztowania doszło we wrześniu 2024 roku, a śledztwo prowadzone było przez FBI.

Cyfrowa zemsta po zwolnieniu

Według akt sądowych, Scheuer został zwolniony z Disneya 13 czerwca 2024 r. za niewłaściwe zachowanie. Choć firma nie ujawniła szczegółów incydentu, określiła rozstanie jako „nieprzyjazne”. Niedługo po odejściu, były pracownik postanowił się zemścić, wykorzystując swoją wcześniejszą wiedzę o wewnętrznych systemach informatycznych firmy.

Celem Scheuera była aplikacja Menu Creator, obsługiwana przez zewnętrzną firmę z Minnesoty, która służyła do projektowania i aktualizowania menu restauracyjnych w parkach Disneya. Zgodnie z dokumentami sądowymi, mężczyzna dostał się do systemu, wykorzystując trzy oddzielne wektory ataku – m.in. za pomocą konta administracyjnego, danych dostępowych udostępnianych wykonawcom, a także za pośrednictwem serwerów SFTP służących do przechowywania gotowych plików menu.

Wingdings, puste strony i groźne „ułatwienia”

Scheuer dokonał licznych sabotaży – zamienił standardowe czcionki w systemie na „Wingdings”, co uniemożliwiło czytelne wyświetlanie menu, oraz podmienił obrazy tła na puste, białe strony. Dodatkowo, jego działania doprowadziły do całkowitego unieruchomienia systemu Menu Creator, co zmusiło firmę do jego porzucenia i przejścia na nowe rozwiązania. System był niedostępny przez tydzień lub dwa.

Znacznie poważniejsze były jednak ingerencje w informacje o alergenach i składnikach potraw. Scheuer wprowadził fałszywe adnotacje sugerujące, że niektóre potrawy są bezpieczne dla osób z alergiami, co – jak zauważyli śledczy – mogło mieć tragiczne konsekwencje zdrowotne.

Zmienił również nazwy regionów winiarskich na skojarzenia z masowymi strzelaninami oraz dodał do grafik obraźliwe symbole, w tym swastykę. W innej fazie ataku podmienił kody QR w cyfrowych menu, tak by kierowały użytkowników na strony wzywające do bojkotu Izraela.

Wściekłość, automaty i... VPN

Scheuer nie poprzestał na sabotażu aplikacji. FBI wykazało, że uruchomił zautomatyzowany atak typu DoS (denial of service), który uniemożliwił czternastu pracownikom Disneya dostęp do ich służbowych kont – skrypt wykonał ponad 100 tysięcy błędnych prób logowania, blokując ich profile.

Choć Scheuer używał komercyjnej usługi Mullvad VPN, śledczy ustalili, że adresy IP wykorzystane w atakach pokrywają się z tymi, które wcześniej wykorzystywał do logowania się na swoje służbowe konto e-mail w Disneyu.

Zatrzymanie i konsekwencje

FBI przeszukało dom Scheuera 23 września 2024 r. Tuż przed przybyciem agentów ataki nagle ustały i nie zostały wznowione po skonfiskowaniu jego sprzętu. Śledczy znaleźli liczne maszyny wirtualne oraz plik zawierający dane osobowe pięciu pracowników Disneya i matki jednego z nich – co można uznać za próbę doxxingu.

Część zainfekowanych menu została już wydrukowana, lecz nie trafiła do klientów – firma zdołała przechwycić te zmiany na czas.

Michael Scheuer został skazany na 36 miesięcy więzienia oraz grzywnę w wysokości 687 772 dolarów. Po odbyciu kary czeka go trzyletni okres zwolnienia warunkowego, podczas którego nie będzie mógł kontaktować się ani z firmą Disney, ani z poszkodowanymi pracownikami.