Déposé devant un tribunal de Californie, la plainte accuse consciente de la négligence grave, citant les transcriptions où les agents d’assistance ont donné des mots de passe et réinitialiser le MFA sans aucune vérification d’identité.
Le géant des produits de blanchiment et de nettoyage américain Clorox a intenté une action en justice de 380 millions de dollars contre le fournisseur de services informatiques Cognizant, alléguant que le personnel de l’aide de l’entreprise a remis les mots de passe du réseau aux cybercriminels qui ont simplement appelé et posé les questions, aucune question posée.
La plainte déposée mardi devant la Cour supérieure du comté d’Alameda comprend des conversations enregistrées réelles qui révèlent la simplicité étonnante de l’attaque d’août 2023 qui a entraîné 380 millions de dollars de dommages-intérêts à la société de biens de consommation.
« Cognizant n’a été dupé par aucun stratagème élaboré ou technique de piratage sophistiqué », a indiqué le procès. «Le cybercriminé vient d’appeler The Cognizant Service Desk, a demandé des informations d’identification pour accéder au réseau de Clorox, et Cognizant a remis les informations d’identification.»
‘Quel est le mot de passe?’ ‘Accueillir…’
Le procès comprend des transcriptions textuelles montrant la facilité avec laquelle les attaquants ont obtenu l’accès au réseau de Clorox. Dans un échange qui incarne la ventilation de la sécurité, un cybercriminal a simplement déclaré qu’ils ne pouvaient pas se connecter sans mot de passe.
« Je n’ai pas de mot de passe, donc je ne peux pas me connecter », a déclaré l’attaquant.
« Oh, ok. Ok. Alors laissez-moi vous fournir le mot de passe OK? » L’agent cognitif a répondu immédiatement, puis a procédé au mot de passe en commençant par «bienvenue…»
Ce modèle s’est répété tout au long du 11 août 2023, avec des cybercriminels à obtenir des réinitialisations de mot de passe, des réinitialisations d’authentification multi-facteurs et même des modifications de numéro de téléphone pour l’authentification SMS – le tout sans fournir des numéros d’identification des employés, des noms de gestionnaire ou toute autre vérification.
« La violation n’a pas été causée par des logiciels malveillants ou des jours zéro, mais par l’absence de vérification de base », a déclaré Sanchit Vir Gogia, analyste en chef de Greyhound Research. «Les entreprises ne doivent plus assimiler l’externalisation à l’abdication.»
Attaque attribuée aux spécialistes de l’ingénierie sociale
La cyberattaque en 2023 a été attribuée à Spattered Spider, un groupe cybercriminal connu pour ses campagnes sophistiquées d’ingénierie sociale qui le ciblent. Cependant, dans ce cas, les attaquants ont réussi à traverser des tactiques remarquablement de base plutôt que des méthodes techniques avancées.
« Le succès de Sported Spider avec un appel simple » s’il vous plaît réinitialiser mon mot de passe « confirme que les acteurs de la menace essaieront toujours l’ingénierie sociale à l’effort le moins bas d’abord et se dégénèrent d’abord en cas d’accès ou en profondeur uniquement si des astuces simples échouent », a déclaré Prabhjyot Kaur, analyste principal chez Everest Group.
Le dépôt juridique a expliqué comment les attaquants ont utilisé des approches identiques pour compromettre systématiquement les comptes des employés de Clorox. Après avoir obtenu un accès initial grâce aux informations d’identification d’un employé, ils ont rappelé plusieurs fois le même jour pour réinitialiser les références en MFA de l’employé, avec des agents conscients se conformant à chaque fois sans remettre en question le modèle inhabituel.
Échecs de formation systématiques malgré les assurances
Les pannes de sécurité se sont produites malgré le fait que Clorox ait fourni des procédures complètes spécialement conçues pour empêcher de telles attaques, a ajouté le procès. Le plus en détail a déclaré que le responsable du bureau de service interne de Clorox avait tenu des réunions hebdomadaires avec des chefs d’équipe de conscience et a demandé à plusieurs reprises la confirmation de la mise en œuvre de procédures de sécurité mises à jour.
En février 2023, un responsable du service de service conscient a confirmé l’achèvement de la formation avec le commentaire «a éduqué l’équipe». Cependant, l’attaque d’août a exposé ces assurances comme fausses.
« La cyberattaque a exposé le fait que tout cela était un mensonge dévastateur », a déclaré le procès. «Si Cognizant avait correctement formé son personnel de service de service sur les politiques et procédures de Clorox ou les normes de base de l’industrie, la cyberattaque ne se serait jamais produite.»
Au-delà de la violation initiale, les échecs de Cognizant se sont poursuivis au cours de la réponse des incidents. Lorsque Clorox a détecté l’intrusion dans les trois heures, le procès allègue que le Cognizant a pris plus d’une heure pour réinstaller un outil de cybersécurité critique qui aurait dû prendre 15 minutes et a fourni des listes d’adresses IP incorrectes qui ont entraîné un retard de huit heures dans les mesures de confinement.
« La cyberattaque a forcé Clorox à retirer les systèmes hors ligne, à faire une pause et à s’appuyer sur le traitement manuel des commandes pendant des semaines », a-t-il déclaré. La cyberattaque a provoqué à Clorox environ 380 millions de dollars de dommages et intérêts, dont plus de 49 millions de dollars en frais de réparation et «des centaines de millions de dollars en pertes d’interruption des entreprises», a déclaré le procès.
Implications juridiques pour la responsabilité des fournisseurs
«Ce procès peut déplacer la réponse de violation d’un processus opérationnel à un calcul légal – transformer la façon dont les entreprises négocient la responsabilité, attribuent un fardeau contractuel et la résilience des architectes», a expliqué Gogia.
La plainte de Clorox comprenait quatre causes d’action: la rupture de contrat, la violation de bonne foi et la négociation équitable, la négligence grave et les fausses déclarations intentionnelles. La réclamation de négligence grave caractérise la conduite de Cognizant comme «un écart extrême par rapport à la norme de soins ordinaire».
« Le costume Clorox montre qu’une aide aux services de service externalisée peut devenir un point de défaillance catastrophique, de sorte que les entreprises devraient le gouverner comme tout autre contrôle critique », a noté Kaur. Elle recommande que les contrats obligent les «processus de réinitialisation zéro contrevoise» avec la vérification multi-facteurs et la co-approbation du superviseur pour les modifications des informations d’identification.
« Clorox réclame 380 millions de dollars de dommages et intérêts, illustrant comment les lacunes du fournisseur peuvent éclipser les plafonds de responsabilité encore courants dans l’intermédiaire de l’informatique », a ajouté Kaur. Elle a recommandé aux entreprises de modèle des cyber-échecs tiers en tant qu’exposition des cinq premières entreprises.
Pour les dirigeants de la sécurité des entreprises, l’affaire sert de rappel brutal que les processus de vérification humaine nécessitent la même rigueur que les contrôles de sécurité technique, avec des contrats qui spécifient les exigences opérationnelles plutôt que les accords abstraits au niveau du service.
Clorox et Cognizant n’ont pas répondu aux demandes de commentaires.
