A Clorox está processando a gigante de TI Cognizant por negligência grave, alegando que ela possibilitou um massivo ciberataque em agosto de 2023 ao redefinir a senha de um funcionário para um hacker sem antes verificar a sua identidade.
O incidente foi tornado público pela primeira vez em setembro de 2023, supostamente realizado por hackers associados ao Scattered Spider, que utilizaram um ataque de engenharia social para invadir a empresa.
A ação judicial afirma que a Cognizant prestou serviços de TI para a Clorox, incluindo suporte ao service desk e gerenciamento de identidade, que foi o ponto de comprometimento que levou a um ciberataque devastador e custoso para a empresa.
A Clorox é uma grande empresa de bens de consumo, mais conhecida por produtos de limpeza doméstica, alvejante, desinfetantes e itens de cuidados pessoais.
Cognizant é uma empresa global de serviços de TI e consultoria, fornecendo serviços de cloud, desenvolvimento de software e cibersegurança.
De acordo com a reclamação, de 2013 a 2023, a Cognizant foi contratada pela Clorox para gerenciar suas operações de TI.
"A Cognizant forneceu o service desk que os funcionários da Clorox poderiam contatar quando precisassem de recuperação de senha ou ajuda para redefinição", diz a reclamação compartilhada com o site BleepingComputer.
A operação do Service Desk pela Cognizant veio com um requisito simples e de senso comum: nunca redefinir as credenciais de alguém sem autenticá-las adequadamente primeiro.
A Clorox facilitou isso para a Cognizant, fornecendo procedimentos claros a serem seguidos sempre que fornecesse suporte para recuperação ou redefinição de credenciais.
No entanto, a reclamação alega que em 11 de agosto de 2023, gravações mostram que um cibercriminoso ligou várias vezes para o Service Desk da Cognizant, fingindo ser um representante da Clorox solicitando redefinição de senha e autenticação multifator (MFA).
"Em nenhum momento durante qualquer das ligações o Agente verificou se o chamador era de fato o Employee 1.
Em nenhum momento o Agente seguiu os procedimentos de suporte de credencial da Clorox — nem o procedimento pré-2023 ou a atualização de janeiro de 2023 — antes de alterar a senha para o cibercriminoso.
O Agente ainda redefiniu as credenciais de MFA do Employee 1 várias vezes sem qualquer verificação de identidade.
E em nenhum momento o Agente enviou os e-mails obrigatórios ao funcionário ou ao gerente do funcionário para alertá-los sobre a redefinição da senha", afirma a Clorox na reclamação.
Esse tipo de ataque de engenharia social tornou-se a marca registrada dos ataques do Scattered Spider, recentemente usado em ataques a varejistas no Reino Unido em Marks & Spencer e Co-op.
Após supostamente falhar em verificar a verdadeira identidade do chamador, a Cognizant redefiniu as credenciais e a autenticação multifator (MFA) para o hacker, concedendo-lhes acesso à rede de TI da Clorox.
Para piorar as coisas, a Clorox alega que os atores da ameaça usaram o mesmo roteiro para redefinir a senha e o MFA de outro funcionário que trabalhava em segurança de TI, o que foi feito sem verificação novamente.
Isso supostamente deu aos atacantes acesso privilegiado à rede, que usaram para se espalhar para mais dispositivos.
A Clorox afirma que as ações da Cognizant paralisaram sua rede corporativa, interromperam a manufatura e causaram escassez generalizada de produtos e interrupções de negócios.
Além disso, a Clorox descreveu a resposta e o suporte de recuperação da Cognizant como extremamente incompetentes, resultando em atrasos na aplicação de medidas de contenção, falha em desativar contas comprometidas e envio de pessoal subqualificado às instalações.
"O ciberataque resultante foi debilitante. Paralisou a rede corporativa da Clorox e prejudicou as operações comerciais", descreve a reclamação legal.
E para piorar as coisas, quando a Clorox chamou a Cognizant para fornecer serviços de resposta a incidentes e suporte de recuperação de desastres, a Cognizant atrapalhou sua resposta e agravou o dano que já havia causado.
A reclamação da Clorox alega violação de contrato devido à falha da Cognizant em cumprir as obrigações de ITSA, violação da boa fé e negociação justa, negligência grave e representação intencional incorreta do treinamento de pessoal sobre os procedimentos de redefinição de credencial do cliente.
Por essas ações, que resultaram em centenas de milhões de dólares em vendas perdidas devido a interrupções de negócios, bem como danos reputacionais com consequências de longo prazo, a Clorox está buscando $49 milhões em danos de remediação direta e $380.000.000 em danos totais.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...