אנשי ה-IT לא אימתו את זהות העובד – החברה איבדה מיליונים
אחת מחברות מוצרי הניקיון הגדולות בארה"ב תובעת את ספקית ה-IT שלה בטענה שהכניסה האקרים למערכות שלה. הספקית: "מפתיע שחברה כה גדולה הפעילה מערכת סייבר פנימית כה רשלנית"
תמונה: Unsplash
לפעמים, כדי לגנוב מיליונים, צריך להשקיע שבועות של תכנון, לכתוב קוד זדוני מתוחכם, לפרוץ שכבות של הגנה ולהסתיר את העקבות במומחיות כדי שלא יתפסו אותך. אבל יש מקרים בהם מספיק פשוט להרים טלפון, להתחזות לעובד לחוץ שמתקשה להיכנס לחשבון, לבקש איפוס סיסמה ולקבל גישה למערכות של תאגיד ענק, בלי שמישהו ישאל אפילו "מי אתה?".
זה בדיוק מה שקרה ל-Clorox, אחת מחברות מוצרי הניקיון הגדולות בארצות הברית, שנפלה קורבן לאחת מהמתקפות הפשוטות, אך היקרות ביותר של השנים האחרונות, והכל בגלל ספק שנתן יותר מדי אמון באדם שלא הכיר, ומסר לו את כל הפרטים הנחוצים כדי לפרוץ למערכת.
על פי דיווח של Ars Technica, בין 2013 ל-2023 Clorox שכרה את חברה Cognizant לתפעול מוקד התמיכה, כדי לטפל בבקשות שגרתיות כמו איפוס סיסמאות, VPN וקודי MFA. לפי נהלי החברה, כל עובד שמתקשר אמור קודם לנסות לאפס את הסיסמה בעצמו דרך הכלי MyID. אם זה לא מתאפשר, הנציג במוקד מחויב לאמת את זהות הפונה לפי שם המנהל הישיר ושם המשתמש ב-MyID ורק אז מותר לאפס את הסיסמה ולשלוח התראה גם לעובד וגם למנהל.
כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime
נהלים מצד אחד, מציאות מצד שני
בשיחה שהתקבלה במוקד התמיכה באוגוסט 2023, הנציג התעלם מהנהלים ופשוט הגיש את הסיסמה להאקר שטען כי הוא "לא מצליח להתחבר". הנציג לא ניסה לאמת את זהות המתקשר, אלא ישר איפס את האימות הדו-שלבי של "העובד" במערכות מיקרוסופט ו-Octa.
לאחר שהשיג את פרטי הכניסה, התקשר ההאקר פעם נוספת למוקד התמיכה והפעם כבר התחזה לעובד מצוות אבטחת המידע של החברה, ופעל באותה השיטה בדיוק מול מוקדן אחר. גם בשיחה הזו, לא התבצע אף ניסיון לאמת את זהות המתקשר.
Clorox טענה כי קיימה פגישות שוטפות עם Cognizant כדי לוודא שכל העובדים מכירים את הנהלים, וכי החברה הבטיחה שוב ושוב שהיא פועלת לפי פרוטוקול האימות שהוגדר לה, אך השיחות שהוקלטו מ-2023 מוכיחות לטענת התובעת, שמדובר היה ב"שקר בוטה".
שתי שיחות טלפון – נזק של מיליונים
על פי הדיווח, זמן קצר אחרי אותן שתי שיחות, קבוצת התקיפה Scattered Spider, שמתמחה בתקיפת מוקדי שירות של חברות, החדירה נוזקת כופרה למערכות של Clorox, וגרמה, לפי ההערכות, לנזקים ולהפרעות בפעילות בהיקף של כ-380 מיליון דולר. החברה פנתה לבית המשפט בקליפורניה והגישה תביעה בה היא דורשת מ-Cognizant לשלם מיליוני דולרים כפיצוי על נזקי האירוע.
בתגובה לפניית Ars Technica, נציגי חברת ה-IT טענו כי "מפתיע שחברה בגודל של Clorox הפעילה מערכת סייבר פנימית כה רשלנית, מבלי לדעת להתמודד עם התקפה כזו. הם מנסים להטיל עלינו את האחריות, אך נשכרנו לספק שירותי מוקד עזרה בלבד, וזה מה שסיפקנו. אנחנו לא מנהלים את אבטחת המידע שלהם".
נראה כי לא הייתה מתקפה טכנולוגית מתוחכמת וגם לא חולשה קריטית שאף אחד לא שם לב אליה. זו הייתה חולשה אנושית שהובילה לנזק של מיליונים. שני טלפונים, אפס שאלות אימות, מאות מיליוני דולרים באוויר. כך נראית פרצת אבטחה בעולם שבו אולי השקעתם מיליונים בטכנולוגיה שתגן עליכם, אבל שכחתם לבדוק מי האדם שאחראי עליה.
