Ars Technica: мошенники получили пароль компании Clorox, позвонив в поддержку

Компания Clorox подала в суд на IT-консалтинговую компанию Cognizant, обвинив ее в халатности, приведшей к масштабной кибератаке, нарушившей работу бизнеса и причинившей ущерб на сотни миллионов долларов. Об этом сообщает Ars Technica.

Согласно поданному в суд Калифорнии иску, в августе 2023 года злоумышленник сумел получить доступ к внутренней сети Clorox, выдавая себя за сотрудника компании.

Позвонив в службу технической поддержки, обслуживаемую Cognizant, он запросил сброс пароля и отключение многофакторной аутентификации (MFA) в системах Okta и Microsoft. Примечательно, что служба поддержки не провела проверку личности.

Получив доступ, злоумышленник повторил действия от имени более привилегированного пользователя — сотрудника отдела информационной безопасности Clorox. И снова служба поддержки Cognizant выполнила все запросы без должной верификации. По данным Clorox, это позволило хакеру внедрить вредоносное ПО и вывести данные, что в итоге привело к остановке производственных линий и сбоям в логистике.

Clorox утверждает, что ключевая ошибка заключалась в невыполнении элементарных процедур идентификации, прописанных в соглашении с Cognizant. В частности, техническая поддержка должна была использовать внутреннюю систему подтверждения личности MyID или проводить дополнительные проверки с уведомлением менеджера сотрудника. Вместо этого представители Cognizant просто передали пароли и отключили защиту.

Clorox обвинила Cognizant в систематическом нарушении договорных обязательств и недостаточной подготовке персонала. Компания утверждает, что инцидент стал возможен из-за "грубого пренебрежения процедурами", несмотря на регулярные совещания и заверения Cognizant в соблюдении всех регламентов.

В ответ на обвинения PR-представитель Cognizant заявил, что компания "оказывала лишь ограниченные услуги службы поддержки" и не несла ответственности за общую кибербезопасность Clorox. По словам представителя, попытка Clorox возложить ответственность за собственные недостатки на стороннего подрядчика — это попытка отвлечь внимание от системных проблем в их внутренней защите.

Clorox требует компенсации убытков, понесённых в результате инцидента, включая простой производств, нарушение поставок и репутационные потери. Общий ущерб оценивается примерно в $380 млн.