Clorox подає до суду на Cognizant через хакерську атаку на $380 млн

Головна — News — Clorox подає до суду на Cognizant через хакерську атаку на $380 млн

Злом комп’ютерних систем може бути складним — поки не стане таким же простим, як підняти телефон. У серпні 2023 року кіберзлочинець видав себе за співробітників Clorox і обманом змусив аутсорсингову службу підтримки Cognizant скинути паролі та токени багатофакторної аутентифікації (MFA) без жодного підтвердження особи. Внаслідок цього було завдано збитків приблизно на 380 мільйонів доларів, оскільки програмне забезпечення-вимагач поширилося на фабрики, ланцюги постачання та корпоративні системи. Тепер Clorox подає в суд на Cognizant, звинувачуючи компанію у грубій недбалості та порушенні погоджених процедур безпеки.

Передумови порушення безпеки 2023 року

Компанія Clorox протягом десяти років (2013–2023) делегувала підтримку паролів, VPN та MFA першого рівня компанії Cognizant відповідно до угоди про управлінські послуги. Офіційно всі запити мали спочатку проходити через самостійний сервіс Clorox MyID або, у разі невдачі, надавати ім’я користувача MyID та ім’я керівника для верифікації агента. Проте, згідно з позовом, поданим до суду штату Каліфорнія у липні 2025 року, кілька агентів Cognizant передали дані для входу “без жодних запитів на аутентифікацію”.

“Cognizant не став жертвою жодної складної схеми чи витончених хакерських технік. Кіберзлочинець просто зателефонував до служби підтримки Cognizant, попросив дані для доступу до мережі Clorox, і Cognizant без жодних запитів передав ці дані. Cognizant зафіксовано на відео, як передає ключі до корпоративної мережі Clorox кіберзлочинцеві — без жодних запитів на аутентифікацію.”
— Витяг з позову Clorox

Ультиматум Трампа щодо TikTok: Виклики безпеки та торгівлі

2025-07-24

Вектори атаки та технічний аналіз

Соціальна інженерія: Зловмисник виконав підробку ідентифікатора абонента та використав стандартні сценарії вішингу, щоб видати себе за двох різних співробітників Clorox з IT та безпеки.

Обхід MFA: Скидання як Okta, так і Microsoft Authenticator проводилося за допомогою SMS-одноразових паролів (OTP). Не було впроваджено жодної перевірки з використанням альтернативних каналів або апаратних токенів.

Доступ до мережі: Потрапивши всередину, зловмисник підвищив свої привілеї, виявивши та повторно використавши секрети облікових записів служб, після чого розгорнув програму-вимагач і ексфільтрував чутливі дані через зашифровані канали (TLS 1.2 на порту 443).

Управління постачальниками та порушення SLA

Clorox стверджує, що Cognizant неодноразово підтверджував дотримання протоколів підтвердження особи під час квартальних управлінських дзвінків, але внутрішні записи дзвінків показують, що агенти ігнорували базові етапи. Згідно з рекомендаціями NIST SP 800-63, рівні впевненості в аутентифікації (AAL2 або вище) вимагають доказу володіння — понад SMS OTP — проте Cognizant обробляв скидання на рівні AAL1.

Чому хакерам варто уникати запиту “Дефектувати до Росії” в Google

2025-07-24

Думки експертів та галузеві стандарти

“Цей інцидент підкреслює крихкість MFA, що базується лише на SMS, і наголошує на необхідності використання апаратних токенів безпеки або FIDO2/WebAuthn,” зазначає доктор Олена Мартінез, CISO в одній з фармацевтичних компаній Fortune 500. Нещодавній звіт Gartner про Управління ідентифікацією та доступом також попереджає, що атаки вішингу збільшилися на 300 відсотків в річному вимірі.

Стратегії пом’якшення та найкращі практики

Впровадження апаратної MFA (наприклад, YubiKey, Titan) для досягнення рівня AAL3.

Впровадження суворих процедур зворотного дзвінка: аутентифікація через корпоративний каталог, зворотний дзвінок на зареєстрований номер, та ведення журналу кодів причин.

Прийняття моделі Zero Trust: мікросегментація, безперервний моніторинг (SIEM/UEBA) та доступ до привілейованих облікових записів за принципом “вчасно” (PAM-рішення).

Проведення регулярних вправ червоних команд та симуляцій вішингу для тестування стійкості служби підтримки.

8 Прихованих функцій macOS 26 Tahoe, які варто дослідити в бета-версії

2025-07-24

Уроки, які потрібно засвоїти, та наступні кроки

Після цього інциденту Агентство з кібербезпеки та захисту інфраструктури США (CISA) оновило свій циркуляр щодо Укріплення практик MFA, рекомендуючи відмовитися від SMS OTP до 2026 року. Позов Clorox не лише вимагає відшкодування збитків, але й має на меті встановити прецедент щодо відповідальності постачальників за аутсорсингові функції безпеки.