Odzyskanie 12 domen przejętych przez byłego pracownika
Zaczęło się od jednego maila w czwartek rano. Właściciel hurtowni z Częstochowy odkrył, że nie może zalogować się do panelu zarządzania swoimi stronami. Były pracownik, który odszedł tydzień wcześniej, zmienił hasła do 12 kluczowych domen i żądał zapłaty za ich zwrot.
Nagłe odcięcie od narzędzi pracy
Wszystko działo się błyskawicznie. W czwartek o 8:15 rano dział sprzedaży zauważył, że panel administracyjny sklepu nie przyjmuje haseł. Próba resetu haseł nic nie dała, bo mail pomocniczy został zmieniony na prywatny adres byłego informatyka. Ten człowiek zajmował się systemem przez ostatnie 4 lata i znał każdą lukę w zabezpieczeniach. Hurtownia, która realizuje średnio 23 zamówienia dziennie, stanęła w miejscu. Telefony od zdenerwowanych klientów z regionu zaczęły się urywać już około godziny 10:00.
Właściciel firmy najpierw próbował dzwonić do byłego pracownika osobiście. Usłyszał, że dostęp zostanie przywrócony, gdy na konto informatyka wpłynie 15 000 zł. Miała to być 'rekompensata' za niewykorzystany urlop i rzekome nadgodziny z 2023 roku. Szantaż był ewidentny, ale walka w sądzie trwałaby miesiącami. Firma nie mogła sobie pozwolić na tyle dni bezczynności. Wtedy sprawa trafiła do nas, do biura Agora Giedroyć. Wiedzieliśmy, że tutaj czas liczy się bardziej niż paragrafy.
Działamy w ciszy, bo przy takich sporach emocje są najgorszym doradcą i tylko podbijają cenę szantażu.
Przygotowanie argumentów technicznych
Piotr Zawadzki spędził pierwsze 3 godziny na analizie Whois oraz wyciągów bankowych. Okazało się, że 4 domeny zostały wykupione jeszcze przed zatrudnieniem tego pracownika, co dawało nam solidną podstawę prawną. Pozostałe 8 adresów opłacono z karty firmowej, ale zarejestrowano na dane prywatne. To częsty błąd w małych firmach, który mści się przy rozstaniach. Znaleźliśmy jednak 17 wiadomości e-mail, w których pracownik potwierdzał, że domeny należą do zasobów spółki i są częścią jej majątku.
Zamiast wysyłać pismo przedprocesowe, które mogłoby sprowokować informatyka do całkowitego usunięcia plików z serwera, przygotowaliśmy 'scenariusz strat'. Wyliczyliśmy, że 32 godziny przestoju kosztowały hurtownię już 5 600 zł marży. Przedstawiliśmy to jako dług, który rośnie z każdą minutą. Nasza strategia polegała na pokazaniu, że to informatyk ma więcej do stracenia niż zyskania. Dokumentacja była gotowa o 14:00 w piątek. Spotkanie umówiliśmy na 16:00 w kawiarni przy Alei.
4 godziny, które uratowały firmę
Rozmowa nie była łatwa. Były pracownik na początku był bardzo pewny siebie. Twierdził, że domeny są jego, bo to on je 'wymyślił'. Spokojnie pokazaliśmy mu zestawienie faktur i potwierdzenia przelewów. Wyjaśniliśmy mu mechanizm odpowiedzialności materialnej pracownika. Piotr Zawadzki, jako specjalista IT, punkt po punkcie punktował błędy w jego myśleniu o własności intelektualnej. Zamiast atakować, daliśmy mu drogę wyjścia z twarzą. Zaproponowaliśmy podpisanie ugody tu i teraz.
Kluczowym momentem było pokazanie przygotowanego już wniosku do rejestratora domen o cesję przymusową na podstawie kradzieży tożsamości cyfrowej. Informatyk zrozumiał, że jego blokada jest tymczasowa, a konsekwencje finansowe będą trwałe. O godzinie 19:30, po wypiciu dwóch kaw, wyciągnął laptopa. Przy nas dokonał transferu wszystkich 12 domen na nowy, bezpieczny adres techniczny zarządzany przez Agora Giedroyć. W zamian otrzymał pisemne oświadczenie o rezygnacji z roszczeń za dotychczasowe 32 godziny przestoju.
Nowe zasady bezpieczeństwa
Po odzyskaniu kontroli nie poprzestaliśmy na samym przejęciu haseł. Tego samego wieczoru Piotr wdrożył 2-składnikowe uwierzytelnianie (2FA) oparte na kluczach sprzętowych. Teraz dostęp do domen wymaga fizycznego dotknięcia klucza, który znajduje się w sejfie firmy. Zmieniliśmy też dostawcę hostingu dla 3 najważniejszych sklepów, przenosząc dane na serwery z lepszym systemem kopii zapasowych. Cała operacja kosztowała klienta ułamek tego, co żądał szantażysta, a biznes ruszył w sobotę rano bez dalszych przeszkód.
Były pracownik nie dostał pieniędzy, ale uniknął też komornika i prokuratora. Dla właściciela hurtowni najważniejszy był spokój i powrót do pracy. Ten przypadek pokazuje, że w IT negocjacje oparte na faktach są skuteczniejsze niż emocjonalne kłótnie. Obecnie opiekujemy się infrastrukturą tego klienta w ramach stałego nadzoru, co wyklucza powtórkę takiej sytuacji w przyszłości. Od tamtego wydarzenia minęło 8 miesięcy i system ani razu nie został zagrożony.
Prawdziwe bezpieczeństwo zaczyna się tam, gdzie kończy się zaufanie do jednego administratora.
