Zhakowani mimo wydania 500 mln na IT. Clorox pozywa Cognizant

Amerykańska międzynarodowa firma Clorox znana z produkcji produktów do wybielania i czyszczenia, w 2023 r. doznała jednego z najbardziej dotkliwych cyberataków. Pomimo wydania ponad 500 milionów dolarów na modernizację systemów informatycznych i znalezienia się na liście najbardziej bezpiecznych cyfrowo firm magazynu Forbes w 2023 roku, naruszenie bezpieczeństwa spowodowało wstrzymanie działalności firmy, co miało katastrofalne skutki dla łańcucha dostaw i działalności biznesowej.

Hakerzy dostali hasła na tacy

W pozwie wniesionym do sądu w Kalifornii firma Cognizant została oskarżona o rażące zaniedbanie, powołując się na transkrypcje rozmów, w których pracownicy pomocy technicznej podawali hasła i resetowali uwierzytelnianie wieloskładnikowe (MFA) bez sprawdzania tożsamości dzwoniących. Firma żąda 380 milionów dolarów odszkodowania.

„Firma Cognizant nie dała się oszukać żadną skomplikowaną sztuczką ani wyrafinowaną techniką hakerską. Cyberprzestępca po prostu zadzwonił do działu pomocy technicznej Cognizant, poprosił o dane dostępowe do sieci Clorox, a Cognizant po prostu mu je przekazał” - czytamy w pozwie.

Pozew zawiera transkrypcje nagranych rozmów pokazujące, jak łatwo atakujący uzyskali dostęp do sieci Clorox. W jednej z rozmów, która doskonale ilustruje załamanie zasad bezpieczeństwa, cyberprzestępca po prostu stwierdził, że nie może się połączyć bez hasła.

„Nie mam hasła, więc nie mogę się połączyć” – powiedział atakujący w jednej z rozmów, której transkrypt ujawniono. „Och, ok. Ok. Podam ci hasło, dobrze?” – odpowiedział natychmiast agent Cognizant, a następnie podał hasło zaczynające się od „Welcome…”.

Ten schemat powtarzał się przez cały dzień 11 sierpnia 2023 r., a cyberprzestępcy z powodzeniem uzyskiwali dostęp do resetowania haseł, resetowania uwierzytelniania wieloskładnikowego, a nawet zmiany numerów telefonów do uwierzytelniania SMS – wszystko to bez podawania numerów identyfikacyjnych pracowników, nazwisk kierowników ani żadnych innych danych weryfikacyjnych.

Za atakiem stała znana grupa APT

Cyberatak z 2023 r. został przypisany grupie Scattered Spider, znanej z wyrafinowanych kampanii socjotechnicznych wymierzonych w dział pomocy technicznej IT. Jednak w tym przypadku atakującym udało się osiągnąć sukces dzięki niezwykle prostym taktykom, a nie zaawansowanym atakom technicznym.

Brak przeszkolenia pracowników

W pozwie wskazano, że do naruszeń bezpieczeństwa doszło pomimo istnienia kompleksowych procedur wdrożonych przez firmę Clorox, które zostały opracowane właśnie po to, by zapobiegać tego typu atakom. Dodatkowo podkreślono, że kierownik wewnętrznego działu pomocy technicznej Clorox regularnie kontaktował się z kierownikami zespołu Cognizant i wielokrotnie prosił o potwierdzenie, iż zaktualizowane procedury bezpieczeństwa zostały faktycznie wdrożone.

W lutym 2023 r. przedstawiciel Cognizant zapewnił, że wymagane szkolenie zostało zakończone, dodając komentarz: „Zespół przeszkolony”. Jednakże atak, do którego doszło w sierpniu, wykazał, że zapewnienia te były niezgodne z rzeczywistością.

Dla osób odpowiedzialnych za bezpieczeństwo w organizacjach sprawa ta stanowi istotne przypomnienie, że procesy weryfikacyjne oparte na czynniku ludzkim powinny być równie rygorystyczne jak techniczne środki kontroli. Umowy z dostawcami usług powinny zatem zawierać konkretne wymagania operacyjne, a nie jedynie ogólne deklaracje dotyczące poziomu usług.