供應商失職致嚴重網絡攻擊,客戶起訴索賠27億元
責編:gltian |2025-07-25 16:03:31全球清潔用品巨頭高樂氏(Clorox)在美國加州法院起訴其服務臺提供商高知特(Cognizant),索賠3.8億美元(約合人民幣27.18億元)。該公司指控高知特的IT支持團隊“讓一名網絡犯罪分子成功進入高樂氏網絡”,而黑客僅通過“簡單請求”就獲得了員工的登錄憑據。
供應商完全忽視了服務臺操作安全流程
高樂氏于7月22日提交訴狀,指控高知特違反合同、存在嚴重疏忽,并指出高知特的“失職行為”最終導致2023年針對這家漂白劑制造商的一場“災難性網絡攻擊”,嚴重干擾了其系統與業務運營。
根據訴狀內容,高知特負責為高樂氏運營服務臺并提供IT支持服務,“包括在必要時協助員工找回登錄憑據”。文件補充稱,雙方最初于2013年簽署了相關合同,之后對服務協議進行了多次更新。
高樂氏指責高知特在提供憑據重設或找回支持時,沒有遵循公司制定的“簡單明了的操作流程”。
訴狀指出,早在2023年2月(即網絡攻擊發生前數月),高樂氏的內部服務臺經理就曾請求更新憑據支持流程。在多次催促后,高知特服務臺的負責人回應稱“該流程已落實”,還在回復中使用了過去時:“已對團隊進行了培訓”。
然而,訴狀稱:“高知特客服與網絡犯罪分子的通話揭露,這番表述完全是謊言。”
訴狀指出,高知特并未面臨任何精心設計的騙局或復雜的黑客技術。網絡犯罪分子只是撥打了高知特服務臺的電話,請求獲取訪問高樂氏網絡的憑據,而高知特竟直接將憑據交給了對方。根據錄音記錄,高知特在未進行任何身份驗證的情況下,輕率地向網絡犯罪分子提供了高樂氏企業網絡的“鑰匙”。
通話內容如下:
-網絡犯罪分子:我沒有密碼,無法連接。
-高知特客服:哦,好吧。那我把密碼提供給你可以嗎?
-網絡犯罪分子:好的,嗯,行吧,密碼是什么?
-高知特客服:等一下。它是以“Welcome…”開頭的。
攻擊者冒充員工屢屢成功重置賬號訪問權限
據訴狀描述,高樂氏制定的憑據支持響應流程規定,在高樂氏員工提出密碼重置請求后,客服應“引導員工使用高樂氏的身份驗證與自助重置工具MyID;若MyID不可用,則必須通過驗證員工主管姓名與MyID用戶名確認其身份,并在重置密碼后,向該員工和其主管的高樂氏郵箱發送必要的確認郵件”。
高樂氏指控稱,在此次事件中,這些安全流程被徹底忽視。訴狀指出,2023年8月11日,攻擊者冒充員工撥打服務臺電話,一名高知特客服代理隨后為其“Okta”賬戶重置了訪問權限,而Okta是高樂氏用于身份認證的核心平臺。高樂氏稱,該客服雖然曾要求攻擊者連接公司VPN,但對方聲稱無法連接因為“沒有密碼”,客服便未做任何進一步身份核驗,直接重置了訪問權限,“這一行為嚴重違反了高樂氏制定的憑據支持流程”。
緊接著,攻擊者又要求重置其微軟多因素認證(MFA)憑據,而該客服在“未進行任何身份驗證”的情況下,“多次滿足了攻擊者的請求”。
高樂氏進一步指出,“該客服從未向員工本人或其主管發送通知郵件,提醒其密碼已被重置,違反了流程要求”。
訴狀還稱,攻擊者進一步請求重置員工(在訴狀中稱為“員工1”)用于短信MFA的綁定手機號。
高樂氏指控稱:“網絡犯罪分子利用員工1泄露的憑據進入網絡,并進一步竊取高樂氏內部信息。之后,他們將目標轉向了另一名負責IT安全事務的員工——員工2的憑據。”
供應商事后響應速度緩慢
盡管高樂氏在“黑客首次入侵后3小時內”便將其清除出系統環境,但公司稱,為了防止事態進一步惡化,隨后不得不關閉系統,導致“災難性”的業務中斷。公司被迫停產,并在“數周”內依賴人工方式處理訂單,造成產品短缺和“巨額銷售損失”。
此外,公司還批評高知特在事發后的響應緩慢,指出當高樂氏緊急要求高知特重新安裝“被攻擊者卸載的一項關鍵網絡安全工具”時,高知特竟花費了一個多小時完成原本15分鐘內應完成的任務。公司還表示,包括數據庫恢復、IP地址列表更新、賬戶停用等關鍵任務,也都未能被妥善處理。
高樂氏現正尋求3.8億美元賠償,并要求案件由陪審團審理。
這家市值160億美元的漂白劑巨頭,在去年實現營收70億美元,其產品品牌覆蓋從常見消毒清潔用品,到燒烤木炭、貓砂、垃圾袋以及Hidden Valley沙拉醬等多個品類。
就此次訴訟事件,外媒The Register聯系高知特求證。高知特發言人回應稱:
“像高樂氏這樣規模的公司,居然擁有如此薄弱的內部網絡安全體系,令人震驚。高樂氏企圖將自身在此次事件中的失敗歸咎于我們,而事實是,高樂氏聘請高知特僅提供有限范圍的服務臺支持服務。高知特完全履行了其職責,并未承擔高樂氏網絡安全的相關責任。”
參考資料:https://www.theregister.com/2025/07/23/lawsuit_clorox_vs_cognizant/