Brutális kártérítést követel a Clorox

​A Clorox 380 millió dolláros kártérítést követel a korábbi IT-szolgáltatójától, amiért az a vélelmezetten aggályos tevékenységével hozzájárult egy kibertámadáshoz.
 

A Clorox 2023 szeptemberében számolt be arról, hogy a megelőző hónapban egy jelentős kiberbiztonsági incidens történt. Ennek következtében üzleti rendszerei bénultak meg, szüneteltetni kellett a gyártást, egyes termékeiből hiány alakult ki, és a hírnevén is komoly csorba esett.
 
Az incidens kivizsgálása során a Clorox arra a megállapításra jutott, hogy a támadók legalább két alkalmazott felhasználói fiókjának kompromittálásával jutottak be a hálózatába, majd okoztak károkat. Természetesen azonnal felmerült a kérdés, hogy a feketekalapos hackereknek miként sikerült visszaéléseket elkövetniük a két fiókkal.
 
A Clorox azon az állásponton van - és tulajdonképpen erre alapozza a kártérítési igényét -, hogy a két szóban forgó alkalmazott fiókjához azért férhettek hozzá a támadók, mert a globális szinten IT-szolgáltatásokat biztosító Cognizant Service Desk szolgáltatása nem kezelte megfelelően a jelszóhelyreállítással kapcsolatos felhasználói bejelentéseket.
 
A Clorox álláspontja szerint, amikor egy hacker az egyik alkalmazott nevében felhívta a Cognizant, mondván szeretné reseteltetni a jelszavát és a kétfaktoros azonosításhoz kapcsolódó adatait, akkor a Cognizant munkatársa nem követte az ilyen esetekre előírt eljárásokat, és nem ellenőrizte megfelelően a bejelentőt, hanem egyszerűen resetelte a hitelesítő adatokat. A helyzetet pedig tovább bonyolítja, hogy a hacker többször is telefonált a Service Deskre, utoljára egy IT-alkalmazott nevében. A Cognizant munkatársa pedig ennek az IT-s alkalmazottnak a jelszavát is visszaállította, amivel kiemelt jogosultságokkal vértezte fel a támadót. Ráadásul erről nem ment e-mailes értesítés sem az érintett Clorox alkalmazottak, sem azok vezetői számára, holott ez is előírás lett volna.
 
A Clorox már megindította a pert, amire a Cognizant egyelőre szűkszavúan reagált, és nem értett egyet a vádakkal. A vállalat szerint a Cloroxnál a támadások kockázatainak csökkentésére teljesen alkalmatlan belső kiberbiztonsági rendszer működött.
 
Azt, hogy a bíróság végül kinek ad majd igazat egyelőre megjósolni sem lehet, de a pert minden bizonnyal kiemelt figyelem fogja követni.