A Clorox, conhecida fabricante de produtos de limpeza e desinfeção, avançou com um processo judicial contra a gigante de serviços de TI Cognizant, alegando negligência grave. A acusação central é que a Cognizant permitiu um ciberataque devastador em agosto de 2023 ao fazer o reset da password de um funcionário para um hacker, sem primeiro verificar a sua identidade.
O incidente, que se tornou público em setembro de 2023, terá sido levado a cabo por um grupo de hackers associado aos Scattered Spider, que utilizaram um ataque de engenharia social para comprometer a empresa.
Uma falha de segurança com consequências graves
Segundo a queixa, a Cognizant era a empresa contratada pela Clorox, entre 2013 e 2023, para gerir as suas operações de TI, incluindo o suporte técnico e a gestão de identidades. Foi precisamente este o ponto de falha que, segundo a Clorox, levou a um ataque informático dispendioso e paralisante.
A Clorox é uma das maiores empresas de bens de consumo, famosa pelos seus produtos de limpeza doméstica, lixívia e itens de cuidado pessoal. A Cognizant, por sua vez, é uma multinacional de consultoria e serviços de TI, fornecendo serviços na nuvem, desenvolvimento de software e cibersegurança.
Como a engenharia social enganou a Cognizant
O processo detalha como a Cognizant tinha a responsabilidade de operar o "Service Desk", o ponto de contacto para os funcionários da Clorox que necessitassem de assistência para recuperar ou redefinir as suas credenciais. A regra era clara e simples: nunca redefinir credenciais sem uma autenticação adequada.
No entanto, a queixa alega que a 11 de agosto de 2023, um cibercriminoso contactou o Service Desk da Cognizant várias vezes, fazendo-se passar por um representante da Clorox a solicitar o reset da sua password e da autenticação multifator (MFA). As gravações mostram que o agente da Cognizant não seguiu os procedimentos de verificação de identidade estipulados pela Clorox.
Para agravar a situação, a Clorox afirma que os atacantes usaram a mesma tática para obter o reset da password e da MFA de um segundo funcionário, que trabalhava na área de segurança de TI. Mais uma vez, a verificação de identidade não foi realizada, o que terá concedido aos atacantes acesso privilegiado à rede, permitindo-lhes expandir o ataque a outros sistemas.
A resposta ao incidente e as acusações legais
A Clorox descreve o ciberataque como "debilitante", afirmando que paralisou a sua rede corporativa, interrompeu a produção e causou uma escassez generalizada de produtos, resultando em perdas massivas.
Como se não bastasse, a empresa alega que o suporte de resposta e recuperação de desastres fornecido pela Cognizant foi incompetente, resultando em atrasos na contenção da ameaça, falhas no encerramento de contas comprometidas e o envio de pessoal subqualificado para as instalações.
De acordo com a queixa, disponível publicamente através do DocumentCloud, as acusações incluem quebra de contrato, violação do princípio de boa-fé, negligência grave e deturpação intencional sobre a formação do seu pessoal. Pelos danos, que resultaram em centenas de milhões de dólares em vendas perdidas e danos reputacionais, a Clorox exige uma indemnização de 49 milhões de dólares (cerca de 45 milhões de euros) por custos de remediação direta, num total de 380 milhões de dólares (aproximadamente 354 milhões de euros) em danos totais.
Aplicações TugaTech
Discord do TugaTech
RSS do TugaTech
Speedtest Tugatech
Host TugaTech