$380-მილიონიანი ჰაკერული თავდასხმის შემდეგ, Clorox-ი თავის „სერვის-ცენტრს“ პაროლების უბრალოდ გაცემისთვის უჩივის

Clorox-ი აცხადებს, რომ 2023 წლის მასშტაბური კიბერშეტევის თავიდან აცილება მარტივად შეიძლებოდა.

ჰაკინგი რთულია. ყოველ შემთხვევაში, ზოგჯერ.

სხვა დროს კი, უბრალოდ, რეკავ კომპანიის IT სერვის-ცენტრში, თავს ისე აჩვენებ, თითქოს თანამშრომელი ხარ, რომელსაც პაროლის, Okta-ს მრავალფაქტორიანი ავთენტიფიკაციისა (MFA) და Microsoft-ის MFA-ს განულება სჭირდება... და ისინი ამას აკეთებენ. თქვენი ვინაობის გადამოწმების გარეშეც კი.

შემდეგ ამ ინფორმაციას იყენებ სამიზნე ქსელში შესასვლელად და პოულობ უფრო სანდო მომხმარებელს, რომელიც IT უსაფრთხოების განყოფილებაში მუშაობს. ისევ რეკავ IT სერვის-ცენტრში, ამჯერად ამ მეორე პიროვნების სახელით, და იგივეს ითხოვ: პაროლისა და MFA-ს განულებას. და ისევ, ცენტრი ამას გაძლევთ, ვინაობის გადამოწმების გარეშე.

შემდეგ კი ახალი მონაცემებით შედიხარ ქსელში, ნერგავ გამოსასყიდ პროგრამას ან იპარავ მონაცემებს და საბოლოოდ, კომპანიას, სავარაუდოდ, 380 მილიონი დოლარის ზიანს აყენებ. მარტივია, არა?

The Clorox Company-ს თანახმად, რომელიც ყველაფერს აწარმოებს, ტუჩის ბალზამიდან კატის ქვიშამდე, ზუსტად ეს დაემართა მას 2023 წელს. მაგრამ Clorox-ი აცხადებს, რომ ეს „დამაზიანებელი“ შეტევა მისი ბრალი არ იყო. მან IT უსაფრთხოების ოპერაციების „სერვის-ცენტრის“ ნაწილი აუთსორსინგით გადასცა უმსხვილეს სერვის-კომპანია Cognizant-ს — და Clorox-ი ამბობს, რომ Cognizant-მა სერვის-ცენტრის მართვისთვის ყველაზე საბაზისო, შეთანხმებული პროცედურებიც კი ვერ დაიცვა.

Clorox-ის ახალი სარჩელის თანახმად, Cognizant-ის ქცევა იყო „დამანგრეველი სიცრუე“, მან „მინიმალური ზრუნვაც კი არ გამოიჩინა“ და „იცოდა, რომ მისი თანამშრომლები სათანადოდ არ იყვნენ გაწვრთნილები“.

„Cognizant-ი არ მოტყუებულა რაიმე დახვეწილი ხრიკით ან რთული ჰაკერული ტექნიკით,“ — ნათქვამია სარჩელში. „კიბერდამნაშავემ უბრალოდ დარეკა Cognizant-ის სერვის-ცენტრში, მოითხოვა Clorox-ის ქსელში წვდომის მონაცემები და Cognizant-მა ეს მონაცემები პირდაპირ გადასცა. Cognizant-ი ჩანაწერზეა დაფიქსირებული, როდესაც Clorox-ის კორპორატიული ქსელის გასაღებს კიბერდამნაშავეს გადასცემს — ავთენტიფიკაციის არანაირი კითხვის დასმის გარეშე.“

„შეიძლება, პაროლი განმინიშნოთ?“

პროტოკოლის თანახმად, როდესაც სავარაუდო თანამშრომელი სერვის-ცენტრში რეკავდა, მას უნდა გამოეყენებინა შიდა ვერიფიკაციისა და პაროლის თვითგანახლების ინსტრუმენტი, სახელად MyID. თუ ეს შეუძლებელი იყო, სერვის-ცენტრს უნდა გადაემოწმებინა პირის ვინაობა მისი მენეჯერის სახელისა და MyID მომხმარებლის სახელის გამოყენებით.

ამის ნაცვლად, Clorox-ის თქმით, 2023 წლის 11 აგვისტოს ეს მოხდა:

კიბერდამნაშავე: პაროლი არ მაქვს, ამიტომ დაკავშირებას ვერ ვახერხებ. Cognizant-ის აგენტი: ოჰ, გასაგებია. კარგი. მოდით, პაროლს ახლავე მოგაწვდით, კარგი? კიბერდამნაშავე: კარგი. დიახ. დიახ, რა არის პაროლი? Cognizant-ის აგენტი: ერთი წუთით. ის იწყება სიტყვით „Welcome“...

როდესაც ეს ხრიკი გამოვიდა, თავდამსხმელმა MFA-ს განულება მოითხოვა:

კიბერდამნაშავე: ჩემი Microsoft MFA არ მუშაობს. Cognizant-ის აგენტი: ოჰ, გასაგებია... კიბერდამნაშავე: შეგიძლიათ, ჩემი MFA განაახლოთ? ის ჩემს ძველ ტელეფონზეა... Cognizant-ის აგენტი: [ხანმოკლე პაუზის შემდეგ] მადლობა მოთმინებისთვის, ალექს. მრავალფაქტორიანი ავთენტიფიკაცია ახლა განულებულია. კარგი. შეგიძლიათ, შეამოწმოთ, შეძლებთ თუ არა შესვლას...

მოგვიანებით, იმავე დღეს, ჰაკერმა IT უსაფრთხოების განყოფილების სხვა თანამშრომლის სახელით დარეკა და იგივე ხრიკები ისევ სცადა. და მათ ისევ იმუშავა, სხვადასხვა აგენტთანაც კი.

Cognizant-ის აგენტი: რით შემიძლია დაგეხმაროთ დღეს? კიბერდამნაშავე: ჩემი პაროლი Okta-ზე არ მუშაობდა... Cognizant-ის აგენტი: თქვენს პაროლს ჩემი მხრიდან ახლავე განვაახლებ. კარგი. და ვნახოთ, როგორ იმუშავებს. კარგი. [ხანმოკლე პაუზის შემდეგ] ... პაროლი იქნება Clorox@123.

შედეგი და პასუხისმგებლობა

Clorox-ი აცხადებს, რომ რეგულარულად მართავდა შეხვედრებს Cognizant-თან, რათა დარწმუნებულიყო, რომ ყველა პროტოკოლს იცავდა. Cognizant-ი „მუდმივად არწმუნებდა, რომ Clorox-ის პროცედურებს მიჰყვებოდა“. თუმცა, 2023 წლის ზარებმა აჩვენა, რომ ეს „აშკარა სიცრუე“ იყო.

ახალი სარჩელი, რომელიც კალიფორნიის შტატის სასამართლოშია შეტანილი, ითხოვს, რომ Cognizant-მა გადაიხადოს მილიონობით დოლარი იმ ზიანის ასანაზღაურებლად, რომელიც Clorox-მა ქარხნებისა და შეკვეთების სისტემების კვირების განმავლობაში შეფერხების გამო მიიღო.

განახლება: გამოქვეყნების შემდეგ, Cognizant-ის წარმომადგენელმა სააგენტომ შემდეგი განცხადება გაავრცელა: „შოკისმომგვრელია, რომ Clorox-ის ზომის კორპორაციას ასეთი არაკომპეტენტური შიდა კიბერუსაფრთხოების სისტემა ჰქონდა ამ შეტევის შესამსუბუქებლად. Clorox-ი ცდილობს, ამ წარუმატებლობაში ჩვენ დაგვადანაშაულოს, მაგრამ რეალობა ისაა, რომ Clorox-მა Cognizant-ი დაიქირავა ვიწრო პროფილის, დახმარების ცენტრის სერვისებისთვის, რომლებიც Cognizant-მა გონივრულად შეასრულა. Cognizant-ი არ მართავდა Clorox-ის კიბერუსაფრთხოებას.“

ITNEWS-ის მეგობარი ვებ-გვერდია ITJOBS.GE. ITJOBS.GE-ზე ორგანიზაციებს და ფიზიკურ პირებს, აქვთ საშუალება განათავსონ როგორც ვაკანსები, ტრენინგები და ივენთები ასევე კონკრეტული Tech დავალებები, რისთვისაც ეძებენ დეველოპერებს, დიზაინერებს, სეო სპეციალისტებს და ა.შ. ITJOBS.GE - იპოვე დასაქმების საუკეთესო შესაძლებლობები ან გამოაქვეყნე ვაკანსია / დავალება და მიაწვდინე ხმა სასურველ აუდიტორიას.