Компания Clorox подала иск против IT-консалтинговой фирмы Cognizant, обвинив её в небрежности, которая привела к серьёзной кибератаке, нарушившей деятельность компании и причинившей ущерб на сотни миллионов долларов. Об этом сообщает Ars Technica.
Согласно документам, поданным в суд в Калифорнии, в августе 2023 года злоумышленник проник во внутреннюю сеть Clorox, выдав себя за сотрудника компании. Обратившись в службу технической поддержки, обслуживаемую Cognizant, он добился сброса пароля и отключения многофакторной аутентификации (MFA) в системах Okta и Microsoft. Поддержка не проверила личность звонящего.
Получив доступ, злоумышленник повторил действия от имени более привилегированного пользователя — работника отдела информационной безопасности Clorox, и вновь Cognizant поддержала запросы без должной верификации. Clorox утверждает, что это позволило хакеру внедрить вредоносное ПО и похитить данные, что в дальнейшем привело к остановке производственных процессов и сбоям в логистике.
По мнению Clorox, ключевой промах состоял в недовыполнении простейших процедур идентификации, прописанных в договоре с Cognizant. В частности, техническая поддержка должна была использовать внутреннюю систему MyID для проверки личности или проводить дополнительные проверки с уведомлением менеджера сотрудника. Вместо этого сотрудники Cognizant передали пароли и отключили защитные меры.
Clorox обвиняет Cognizant в системных нарушениях договорных обязательств и недостаточной подготовке персонала. Компания утверждает, что инцидент произошёл из-за «грубого пренебрежения процедурами», несмотря на регулярные совещания и заверения Cognizant о выполнении всех регламентов.
На обвинения ответил PR-представитель Cognizant, отметив, что компания предоставляла лишь ограниченные услуги службы поддержки и не несла ответственности за общую кибербезопасность Clorox. Представитель считает, что попытка Clorox переложить ответственность на внешнего подрядчика отвлекает от системных проблем в их собственной защите.
Clorox добивается компенсации убытков, нанесённых в результате инцидента, включая остановку производств, нарушение поставок и репутационные потери. Общий ущерб оценивается примерно в 380 миллионов долларов.