Jeden z największych incydentów cyberbezpieczeństwa w 2023 roku znalazł swój finał w sądzie. Clorox, znany amerykański producent chemii gospodarczej, domaga się wielomilionowego odszkodowania od firmy Cognizant za to, iż jej pracownicy bez weryfikacji wydali cyberprzestępcom hasła oraz dane do uwierzytelniania wieloskładnikowego. Według Clorox, ogromne straty finansowe były efektem rażących błędów i braku procedur bezpieczeństwa po stronie podwykonawcy.
Jak doszło do włamania w Clorox
Clorox padł ofiarą ataku, który z technicznego punktu widzenia był wręcz banalny. Cyberprzestępca zadzwonił do obsługującego firmę „service desku” Cognizant, podając się za pracownika Clorox, który potrzebuje resetu hasła oraz danych do uwierzytelniania MFA (Okta i Microsoft). Pracownicy Cognizant, bez sprawdzenia tożsamości, udostępnili potrzebne dane. Haker uzyskał dostęp do sieci Clorox, po czym powtórzył ten sam manewr, tym razem podszywając się pod osobę z działu bezpieczeństwa IT. Po otrzymaniu kolejnych danych uwierzytelniających, mógł swobodnie działać w sieci, instalując oprogramowanie ransomware lub wykradając dane.
Według dokumentów sądowych, straty Clorox sięgnęły aż 380 mln USD, głównie z powodu wielotygodniowych przestojów w produkcji i systemach zamówień. Firma podkreśla, iż outsourcing obsługi serwisowej do Cognizant opierał się na jasnych procedurach, które miały zapobiegać takim incydentom. Pracownicy Cognizant powinni wymagać autoryzacji przez narzędzie MyID lub, w razie problemów, weryfikować dane użytkownika oraz przełożonego, z powiadomieniem obu stron o każdej zmianie.
Zarzuty Clorox wobec Cognizant
W pozwie złożonym w sądzie stanu Kalifornia Clorox oskarża Cognizant o rażące zaniedbania i łamanie uzgodnionych procedur bezpieczeństwa. W dokumentach czytamy m.in.:
„Cyberprzestępca po prostu wezwał Service Desk Cognizant, poprosił o dane do logowania i Cognizant natychmiast je przekazał, bez zadania jakiegokolwiek pytania weryfikacyjnego”.
Clorox przekonuje, iż regularnie odbywały się spotkania z przedstawicielami Cognizant, które miały na celu utrzymanie standardów bezpieczeństwa. Firma uważa, iż zapewnienia o przestrzeganiu procedur były nieprawdziwe. Pozew dotyczy milionowych odszkodowań za realne straty, które Clorox poniosła w wyniku przestoju zakładów i systemów.
Stanowisko Cognizant i spór o odpowiedzialność
Cognizant, reprezentowany przez agencję PR, w odpowiedzi na zarzuty Clorox przekonuje, iż zakres usług dotyczył wyłącznie wąsko rozumianej pomocy helpdeskowej, a zarządzanie cyberbezpieczeństwem nie należało do ich obowiązków. W oświadczeniu czytamy:
„To szokujące, iż tak duża korporacja jak Clorox nie posiadała skutecznych wewnętrznych systemów cyberbezpieczeństwa. Clorox próbuje zrzucić na nas winę, podczas gdy nasza rola była ściśle określona i została zrealizowana”.
Cognizant odrzuca odpowiedzialność za incydent, argumentując, iż firma nie miała wpływu na całościowy poziom zabezpieczeń klienta.
