Rażące błędy Cognizant umożliwiły katastrofalny cyberatak
W głośnej sprawie sądowej, która może mieć daleko idące konsekwencje dla firm świadczących usługi IT, amerykański gigant branży chemii gospodarczej Clorox złożył pozew przeciwko swojemu wieloletniemu partnerowi technologicznemu — Cognizant. Clorox zarzuca firmie konsultingowej rażące zaniedbania, które miały bezpośrednio doprowadzić do cyberataku z sierpnia 2023 roku, skutkującego stratami sięgającymi 380 milionów dolarów. Według treści pozwu, hakerzy — rzekomo powiązani z grupą Scattered Spider — zdołali oszukać pracownika działu pomocy technicznej Cognizant, który bez żadnej weryfikacji tożsamości resetował hasła i dane do uwierzytelnienia wieloskładnikowego (MFA), umożliwiając cyberprzestępcom dostęp do wewnętrznych systemów Clorox.
Złamane procedury, brak reakcji, sparaliżowane łańcuchy dostaw
Zarówno charakter, jak i rozmiar naruszeń zarzucanych Cognizant wykraczają daleko poza błąd ludzki. Jak wynika z dokumentów sądowych, incydent miał miejsce 11 sierpnia 2023 roku, kiedy to osoba podszywająca się pod pracownika Clorox zadzwoniła wielokrotnie do centrum obsługi Cognizant. W żadnej z rozmów nie przeprowadzono podstawowej weryfikacji, co stanowiło bezpośrednie naruszenie uzgodnionych procedur bezpieczeństwa. Co więcej, identyczny scenariusz miał miejsce chwilę później, gdy atakujący poprosił o zresetowanie danych kolejnego pracownika – tym razem osoby zatrudnionej w dziale bezpieczeństwa IT. Pozwoliło to hakerom na uzyskanie dostępu o podwyższonych uprawnieniach i rozprzestrzenienie się w całej sieci Clorox. Według Clorox skutki tego zaniedbania były dramatyczne — atak zakłócił działalność firmy na wielu poziomach — od zatrzymania produkcji, przez opóźnienia w łańcuchu dostaw, po braki towarów na półkach i trwałe szkody w reputacji. Firma twierdzi również, że odpowiedź Cognizant na incydent była „niewłaściwa i niekompetentna”, co doprowadziło do dalszej eskalacji problemu.
380 milionów dolarów strat i utracone zaufanie
W pozwie Clorox domaga się 49 milionów dolarów odszkodowania za straty bezpośrednie i aż 380 milionów dolarów z tytułu szkód całkowitych. Zgodnie z argumentacją prawną, działania (lub zaniechania) Cognizant nie tylko złamały umowę, ale też miały charakter rażącego niedbalstwa i świadomego wprowadzania w błąd — zwłaszcza w kontekście przeszkolenia pracowników wsparcia technicznego. Incydent miał miejsce w czasie nasilającej się fali ataków socjotechnicznych, których ofiarami padły m.in. takie firmy jak MGM Resorts czy Caesars Entertainment. W wielu przypadkach, podobnie jak tutaj, cyberprzestępcy wykorzystali słabości proceduralne w zewnętrznych centrach wsparcia IT, uzyskując dostęp do systemów firmowych przez pozornie „niewinne” telefony do helpdesku. Dalszy bieg sprawy będzie bacznie śledzony zarówno przez branżę IT, jak i sektor ubezpieczeń oraz podmioty publiczne zainteresowane ochroną infrastruktury krytycznej.
