知名漂白剂品牌高乐氏(Clorox)近日对IT服务商高知特(Cognizant)提起诉讼,起因是该IT供应商竟将系统访问凭证直接提供给伪装成员工的网络黑客。据NBC新闻报道,这起安全漏洞导致专门攻击企业服务台的Scattered Spider黑客组织在2023年8月成功向高乐氏植入勒索软件。据称,这一IT支持失误给高乐氏造成约3.8亿美元的损失及业务中断。
作为高乐氏内部网络的管理方,高知特本应负责处理员工密码、多因素认证(MFA)码及VPN相关问题。但高乐氏指控其服务台在未核实来电者身份的情况下就泄露了访问密码——此举明显违背了既定安全政策。技术媒体Ars Technica指出,该公司本应通过内部验证系统和密码自助重置工具进行防护,若用户无法使用该工具,则必须通过核对直属主管姓名和用户名来确认身份。密码重置后系统会同时向员工及其主管发送邮件以保障安全性。
然而在多个案例中,高知特员工竟直接跳过了身份核验环节。一份通话记录片段显示,当自称黑客者表示“我没有密码无法登录”时,客服人员毫不迟疑地回应:“好的,我这就把密码提供给您”。这种低级的社交工程攻击手段轻易得逞,暴露出严重的安全管理漏洞。
“本案并非因黑客技术高超所致,”诉讼文件中强调,“网络罪犯仅通过电话索取凭证,高知特便直接交出了高乐氏网络的访问权限。”这起事件再次验证了网络安全中最脆弱的环节往往在于人为失误——即便部署了最先进的防护体系,一个违反协议的信任行为就可能导致数百万美元的损失。
