HackerNews 编译,转载请注明出处:
清洁用品巨头高乐氏(Clorox)已起诉其委托运营IT服务热线的承包商印孚瑟斯(Cognizant),指控后者直接导致了2023年造成数亿美元损失的网络攻击事件。
本周二在加利福尼亚州高等法院提交的诉讼文件显示,为高乐氏提供服务的印孚瑟斯承包商多次向黑客移交关键登录信息,致使公司系统遭入侵并引发运营瘫痪。印孚瑟斯作为协助企业实施业务流程技术化的大型专业服务公司,尚未回应置评请求。
高乐氏指控印孚瑟斯“其失职行为直接引发了2023年8月的网络攻击,并对公司业务运营造成重大破坏”。公司宣称因此遭受3.8亿美元损失,要求印孚瑟斯承担该赔偿金额及惩罚性损害赔偿。高乐氏指出,其明确规定的密码重置政策屡遭印孚瑟斯客服人员无视。
“高乐氏将保护企业系统的关键职责托付给印孚瑟斯——而他们彻底搞砸了,”高乐氏外部法律顾问玛丽·罗斯·亚历山大表示,“印孚瑟斯不仅玩忽职守,更是将企业网络密钥拱手交给臭名昭著的网络犯罪团伙,公然漠视高乐氏的政策与长期建立的网络安全标准。通话录音完整记录了整个过程,这种行为无可辩驳。”
印孚瑟斯发言人则将责任归咎于高乐氏,称“像高乐氏这种规模的企业竟拥有如此低效的内部网络安全系统来抵御攻击,令人震惊”。该发言人强调:“印孚瑟斯仅承担有限的热线服务范畴,且已合理履行义务。我们并未负责高乐氏的网络安全事务。”
诉讼文件中,高乐氏提供了黑客与客服热线的通话记录文本——显示网络犯罪分子曾多次致电要求重置密码,却始终无需身份验证或证明其员工身份。2023年8月,高乐氏因网络攻击被迫关闭系统,并向联邦监管机构报告称业务运营受阻,不得不采取变通方案维持客户产品供应。
该公司遭遇持续数月的运营故障,部分IT基础设施遭破坏导致“大规模瘫痪”。依靠旗下明星清洁产品及Pine Sol、Burt’s Bees等品牌创造数十亿美元收入的高乐氏,在攻击后被迫恢复人工订单处理流程。由于订单处理效率骤降,其产品在零售渠道持续缺货。攻击事件后六个月内,公司出货量减少导致销售额下降6%,同时需斥资聘请咨询机构、IT恢复团队及取证专家进行事件调查与修复。高乐氏声称已投入4900万美元修复损失,并蒙受数亿美元业务损失。最新财报显示,公司近期获得与网络攻击相关的1亿美元保险理赔。
社会工程攻击全流程还原
诉讼文件描绘了印孚瑟斯员工的重大失职行为(该公司运营高乐氏热线逾十年),同时详述了网络安全专家指出的、犯罪分子日益猖獗的社会工程手段。高乐氏员工通常通过印孚瑟斯服务台进行密码找回或账户设备重置。公司明确要求服务商“重置凭证前必须严格验证身份”,但2023年8月11日,犯罪分子致电索取网络访问凭证时,“印孚瑟斯直接交出了权限”。
“录音显示,印孚瑟斯在未验证身份的情况下,将高乐氏企业网络密钥交给了网络罪犯,”高乐氏律师控诉,“犯罪分子利用当日通过类似通话获取的凭证发动攻击,致使高乐氏企业网络瘫痪、业务运营陷入困境。”
高乐氏透露,其内部服务台经理每周与印孚瑟斯团队管理人员开会强调规则制度。2023年1月,公司更新指引要求客服人员使用身份验证工具MyID;若该工具不可用,则需核实致电者直属经理姓名及账户名。
黑客当时要求重置某员工的Okta账户密码。客服人员虽建议其连接公司虚拟专用网络(VPN),但在黑客声称忘记VPN密码后,该人员直接重置了两套系统密码,“完全违反高乐氏凭证支持流程”。当黑客声称微软多因素认证(MFA)失效时——高乐氏认为这应触发警报——客服却在未验证身份的情况下直接重置了MFA。同日,黑客二次致电要求重复重置微软MFA,该要求再度获准。第三次通话中,黑客再次要求重置Okta凭证,客服仍无任何身份核验即执行操作。黑客进而要求将账户MFA验证手机号变更,客服依旧照办。
“整个过程中,客服从未验证致电者确系该员工本人,也从未遵守高乐氏的凭证支持流程——无论是2023年前旧规还是新规,”公司律师指出,“客服既未向员工及其经理发送密码重置通知邮件,也未执行任何身份核验程序。”
犯罪分子利用重置凭证登录网络窃取信息,进而锁定另一名IT安全部门员工故技重施。通过两次致电,黑客再度获取该员工Okta及微软系统的MFA密码重置权限。此账户使黑客获得高乐氏网络特权访问权限。公司三小时后察觉入侵并试图遏制,但最终被迫全面关闭系统、暂停生产线,转为依赖人工处理订单。
诉讼文件关键部分经编辑处理,高乐氏未确认是否遭受勒索软件攻击。目前尚无网络犯罪组织宣称对此事件负责。
消息来源:therecord;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
