Nic sám nepodnikat, nikomu nic neříkat a nevysvětlovat. Odpovídat jen na dotazy policie. Žádné spekulace, tím se do toho jen zamotáte. Oni nehledají jak k tomu došlo, oni hledají důkazy proti vám.
Z osobní zkušenosti vím o případu, kdy byla chyba v SW. Kolega tam měl někde něco zadrátováno natvrdo a začalo to padat až několik měsíců po jeho odchodu. Když to tvořil, tak potřeboval service usera pro danou službu. Ale toho mu korporát nedokázal vytvořit, tak tam použil svůj účet. Chyba firmy byla v tom, že měli jeho účty zablokovat hned jak odešel. Spadlo by to hned. Takhle se na to přišlo až když firma prováděla roční "úklid" před audity. A samozřejmě jako první začal panikařit pracovník, co ho to vzbudilo zprávami o neautorizovaném přístupu k interní síti. Že padá nějaký Jenkins job se zjistilo až později.
Další případ o čem vím je pevná IP adresa registrovaná ve VPN. Pracovník IT, aby mohl pracovat z domova, měl ve VPN registrovanou díru pro svou vlastní soukromou domácí IP adresu. Dodnes nechápu proč, ale měl. Zneužito to nebylo, jen to jednoho dne vyděsilo lidi, co dělali audit a našli "cizí" IP adresu hrabající se v interní síti.
No a nakonec ještě detail: IP adresu samozřejmě podvrhnout jde a TCP spojení pak může fungovat. Útočník musí mít kontrolu nad síťovými prvky na cestě. Pokud by mi firma X zaplatila, abych v jejich systémech vygeneroval aktivitu z IP adresy a.b.c.d, tak bych nasedl do auta, dojel do firmy, na jejich routeru si přihodil pár řádků do konfigurace, na svém notebooku si nastavil požadovanou IP adresu. A už můžu dělat, co chci. Pokud bych mohl být fyzicky přítomen v síti, ale bez možnosti ovlivnit router, tak i to by se podařit mohlo, byť s mnohonásobně větším úsilím (ARP poisoning apod.). Pokud nemám přístup do LAN a na dané IP adrese v internetu něco jede, tak je to skoro neřešitelné.