Temizlik ürünleri devi Clorox, IT hizmet sağlayıcısı Cognizant'ı, çalışan gibi davranan hacker'lara erişim kimlik bilgilerini 'teslim etmekle' suçlayarak dava açtı. Yapılan bir habere göre, bu güvenlik açığı, şirketlerin servis masalarını hedef alan Scattered Spider adlı hacker grubunun, Clorox sistemlerini fidye yazılımıyla enfekte etmesine olanak sağladı. Bu durumun şirkete yaklaşık 380 milyon dolarlık bir zarara ve işleyişte aksamalara yol açtığı iddia ediliyor.
Cognizant'ın Clorox'un iç ağlarını yönettiği belirtiliyor. Çalışanların şifre, çok faktörlü kimlik doğrulama (MFA) kodları ve VPN gibi konularda sorun yaşadığında sisteme yeniden erişebilmek için IT hizmet sağlayıcısıyla iletişime geçmesi gerekiyor. Ancak Clorox'un iddiasına göre, Cognizant Servis Masası, arayan kişinin kimliğini doğrulamadan erişim şifrelerini paylaştı. Bu tür bir eylemin, yetkisiz kişilerin sisteme erişmesini önlemek için belirlenen politikalara aykırı olduğu vurgulanıyor. Bu politikalara göre, normalde çalışanların kimliklerinin doğrulanması ve şifre sıfırlama gibi işlemlerin, yönetici adı ve kullanıcı adı gibi bilgilerle yapılması, ayrıca çalışana ve yöneticisine bilgilendirme e-postası gönderilmesi gerekiyor.
Siber Suçlular İçin Düşük Çabalı Sosyal Mühendislik Zaferi
Ancak iddialara göre, bu adımlar birkaç durumda atlandı ve Cognizant çalışanları, arayanın kimliğini doğrulamadan doğrudan şifreleri paylaştı. Hatta bir görüşme dökümünün, hacker'ın bir Cognizant çalışanına "Şifrem yok, bu yüzden bağlanamıyorum" dediği ve çalışanın tereddüt etmeden "Tamam, şifreyi sana vereyim mi?" şeklinde yanıt verdiği görülüyor.
Yetkili personel gibi davranmak, en temel sosyal mühendislik saldırılarından biridir ve bu nedenle birçok IT şirketi bu tür durumlara karşı çeşitli önlemler alıyor. Ancak Cognizant çalışanlarının protokolü ihlal ederek fazla güvenli davrandığı ve bunun da Clorox için milyonlarca dolarlık kayıplara yol açmış olabileceği düşünülüyor. Bu durum, ne kadar güçlü ve gelişmiş bir siber güvenlik önlemi alınırsa alınsın, en zayıf noktadan bir ihlalin her zaman mümkün olabileceğini gösteriyor.
Dava dilekçesinde, "Cognizant, karmaşık bir tuzak veya gelişmiş hacker teknikleri ile aldatılmadı. Siber suçlu sadece Cognizant Servis Masası'nı aradı, Clorox'un ağına erişim için kimlik bilgilerini istedi ve Cognizant kimlik bilgilerini doğrudan teslim etti" ifadelerine yer veriliyor.
