Siber saldırılar bazen oldukça basit yöntemlerle gerçekleşebiliyor. Clorox'un yaşadığı olay da tam olarak bunu gösteriyor. Şirket, 2023 yılında 380 milyon dolarlık zarara yol açan büyük bir siber saldırıyla karşılaştı. Ancak Clorox'a göre bu yıkıcı saldırının sorumlusu kendileri değil.
Clorox, IT güvenlik operasyonlarının 'servis desk' bölümünü devasa hizmet şirketi Cognizant'a dış kaynakla devretmişti. Clorox'un iddiasına göre Cognizant, servis desk operasyonları için belirlenen en temel prosedürleri bile yerine getirmedi. Clorox'un açtığı davada, Cognizant'ın davranışının "tamamen yıkıcı bir yalan" olduğu, "en ufak bir özen göstermediği" ve "çalışanlarının yeterince eğitilmediğinin farkında olduğu" belirtiliyor.
Davaya göre, siber saldırganlar karmaşık bir plan veya sofistike hacking teknikleriyle değil, doğrudan Cognizant'ın servis desk'ini arayarak Clorox ağ erişimi için kimlik bilgileri talep etti. Clorox, elinde Cognizant'ın siber suçluya kimlik doğrulama soruları sormadan Clorox'un kurumsal ağına erişim anahtarlarını teslim ettiğine dair kayıtlar olduğunu iddia ediyor.
Parola Sıfırlama Talebiyle Başlayan Kabus
2013'ten 2023'e kadar Cognizant, Clorox'un ağına yönelik 'ön kapıyı' korumaya yardımcı oluyordu. Bu kapsamda parola, VPN ve çok faktörlü kimlik doğrulama (MFA) gibi erişim taleplerini yönetiyordu. Bir Clorox çalışanı gibi davranan saldırgan, basit bir parola sıfırlama, Okta çok faktörlü kimlik doğrulama sıfırlama ve Microsoft çok faktörlü kimlik doğrulama sıfırlama talebinde bulundu. İddiaya göre, kimlik doğrulaması yapılmadan bu talepler yerine getirildi.
Bu ilk başarıdan sonra saldırgan, bu kez kendisini bir IT güvenlik çalışanının yerine koyarak aynı talepleri tekrarladı. Bu ikinci deneme de başarılı oldu ve saldırgan, Clorox'un ağlarına sızarak fidye yazılımı yerleştirmeyi veya veri sızdırmayı başardı. Clorox, Cognizant ile düzenli toplantılar yaparak prosedürlere uyduklarından emin olmaya çalıştıklarını ancak bu siber saldırıların "bariz bir yalan" olduğunu ortaya koyduğunu belirtiyor.
Clorox, Kaliforniya eyalet mahkemelerinde açtığı bu davayla, fabrikalarındaki ve sipariş sistemlerindeki aksamalar nedeniyle uğradığı zararın tazmini için Cognizant'tan milyonlarca dolar talep ediyor.
