Clorox控告Cognizant員工輕易洩密助駭客入侵

zero comment

Finance

Clorox控告Cognizant IT員工輕易洩露密碼，導致2023年網絡攻擊損失逾3.8億美元

美國漂白水製造商Clorox於周二宣布，已就2023年遭受的嚴重網絡攻擊，向資訊科技服務供應商Cognizant提起訴訟，指控駭客透過直接向Cognizant員工索取密碼，從而入侵系統。

Clorox是今年8月遭受名為Scattered Spider駭客組織攻擊的多家大型企業之一。該組織專門利用詐騙手法，誘使IT支援人員交出登入憑證，然後利用這些憑證進行勒索。雖然Scattered Spider經常被描述為手法高明且頑強，但Clorox在加州法院提出的訴狀中直指，駭客竟然只是透過反覆「問密碼」的簡單手段，成功竊取員工登入資料。

訴狀內容透露：「Cognizant並非被什麼複雜詭計或高端駭客技術所騙，駭客只是打電話到Cognizant服務台，要求取得Clorox網絡的登入憑證，Cognizant就直接交出來了。」

對此，Cognizant透過電郵回應，強調自己並未負責Clorox的網絡安全，只是被聘請提供有限的幫助台服務。他們表示：「Clorox試圖將所有錯誤推卸給我們，但事實是Clorox聘用Cognizant的服務範圍有限，而我們也合理地履行了職責。」

訴訟中附有三段部分通話紀錄，顯示駭客與Cognizant支援人員的對話，駭客要求重置密碼，支援人員未有核實對方身份（例如查詢員工編號或主管姓名）便照單全收。駭客在其中一次通話說：「我沒有密碼，無法登入。」支援人員則回應：「明白，讓我幫你提供密碼，好嗎？」

資深社交工程安全專家Maxie Reynolds（非本案當事人）指出，駭客的手法並非複雜，而是用「通常有效」的方式行事。她認為，要全面評估事件需要完整的通話紀錄，但若真只是直接問密碼就能成功，這已非社交工程技巧，而屬於工作人員的疏忽和職責未盡。

此次駭客事件令Clorox損失高達3.8億美元，其中約5,000萬美元用於修復系統，餘下則是因為無法向零售商出貨而造成的損失。Clorox指控Cognizant員工在事件後續處理中表現不力，包括未能停用相關帳號及未妥善恢復數據，進一步加劇損失。

—

評論與啟示

今次事件暴露出企業在數碼安全管理上的重大漏洞，尤其是依賴第三方IT供應商時的風險管理不足。Cognizant作為專業IT服務商，卻未能有效執行基本的身份驗證程序，令人質疑其內部培訓和安全意識是否跟得上現今網絡威脅的複雜度。更值得注意的是，這場攻擊並非依靠高端技術，而是利用人為疏忽，提醒企業防範社交工程攻擊必須從員工的培訓和嚴格流程入手。

對香港及全球企業來說，這起案件是一個警示：無論科技多先進，最薄弱的環節往往是「人」。企業應該加強多重身份驗證機制，並嚴格限制敏感資料的存取權限。同時，對IT外判服務的監管和合約條款也需更嚴謹，確保供應商在安全事件中負起應有責任。

最後，Clorox與Cognizant的糾紛也凸顯了企業在數據安全事件中責任劃分的模糊地帶。隨著外判服務日益普及，明確界定各方責任與義務，並建立快速應對機制，是減少類似災難再次發生的關鍵。這場訴訟不僅是法律爭議，更是企業資訊安全治理的深刻教訓。

以上文章由特價GPT API KEY所翻譯及撰寫。