Salta al contenuto
Accedi Iscriviti
Cybersecurity

Clorox fa causa a un fornitore per aver ingenuamente rivelato le password

Un vero e proprio attacco di ingegneria sociale.

 and  Amir Ati
2 minuti

In breve:

Clorox ha subito un attacco informatico con danni da 380 milioni di dollari nel 2023, non per hacking avanzato, ma perché un fornitore terzo ha semplicemente consegnato le credenziali di accesso a un criminale. Quest'ultimo ha chiamato l'help desk IT fingendosi un dipendente e ha ottenuto reset di password e autenticazione a due fattori senza alcuna verifica d'identità, permettendogli di accedere alla rete e causare danni enormi.

Riassunto completo:

  • Nel 2023, The Clorox Company ha subito un attacco informatico debilitante che ha causato danni stimati per 380 milioni di dollari.
  • L'attacco non è avvenuto tramite tecniche di hacking sofisticate, ma attraverso una truffa basata sull'ingegneria sociale.
  • Un criminale informatico ha semplicemente chiamato l'help desk IT, fingendosi un dipendente, e ha richiesto il reset di password e account di autenticazione a più fattori (MFA, inclusi Okta e Microsoft).
  • Sorprendentemente, le credenziali sono state consegnate senza alcuna verifica dell'identità.
  • Con le prime credenziali ottenute, l'hacker ha identificato un utente più privilegiato (nel settore della sicurezza IT) e ha ripetuto lo stesso stratagemma, ottenendo nuove credenziali senza verifiche.
  • Una volta all'interno della rete, il criminale ha potuto installare ransomware o esfiltrare dati.
  • Clorox sostiene che la colpa non sia sua, ma del fornitore esterno, Cognizant, a cui aveva esternalizzato la gestione dell'help desk IT dal 2013 al 2023.
  • Secondo la causa intentata da Clorox, Cognizant avrebbe fallito nel seguire le procedure più basilari concordate per la gestione del servizio e avrebbe consegnato le credenziali al criminale, con prove anche registrate su nastro.
  • La denuncia di Clorox accusa Cognizant di aver mostrato scarsa attenzione e di non aver addestrato adeguatamente i propri dipendenti.

La storia di Kevin D. Mitnick

Questo evento mi ha ricordato una figura che mi personalmente mi ha ispirato tantissimo quando avevo solo quattordici anni e leggevo di storie di hacker statunitensi, russi o cinesi. Kevin D. Mitnick è stato uno dei più famosi hacker della storia. Negli anni ’80 e ’90 violò sistemi informatici di grandi aziende come Nokia, IBM e Motorola, usando tecniche di ingegneria sociale, cioè manipolando le persone per ottenere accessi riservati. Dopo anni di fuga, fu arrestato nel 1995 e condannato a cinque anni di carcere. Uscito di prigione, cambiò vita e divenne consulente di sicurezza informatica, scrittore e speaker. È morto nel 2023. La sua storia è emblematica: da “nemico pubblico digitale” a esperto ricercato dalle aziende per proteggersi da attacchi come i suoi.

Questo testo è un riassunto del seguente articolo (eng):

After $380M hack, Clorox sues its “service desk” vendor for simply giving out passwords
Massive 2023 hack was easily preventable, Clorox says.
Ars TechnicaNate Anderson

Alternativa in italiano: non pervenuta

Commenti

Correlati

Più recenti