供应商失职致严重网络攻击，客户起诉索赔27亿元

前情回顾·供应商安全动态

• 网络安全服务虚标注水，IT供应商被罚超1亿元

• 央行供应商遭黑，多家金融机构超13亿元准备金被盗

• 客户泄露用户数据，软件供应商赔偿超1.4亿元

• 客户遭勒索攻击，软件供应商被罚超2800万元

安全内参7月24日消息，全球清洁用品巨头高乐氏（Clorox）在美国加州法院起诉其服务台提供商高知特（Cognizant），索赔3.8亿美元（约合人民币27.18亿元）。该公司指控高知特的IT支持团队“让一名网络犯罪分子成功进入高乐氏网络”，而黑客仅通过“简单请求”就获得了员工的登录凭据。

供应商完全忽视了服务台操作安全流程

高乐氏于7月22日提交诉状，指控高知特违反合同、存在严重疏忽，并指出高知特的“失职行为”最终导致2023年针对这家漂白剂制造商的一场“灾难性网络攻击”，严重干扰了其系统与业务运营。

根据诉状内容，高知特负责为高乐氏运营服务台并提供IT支持服务，“包括在必要时协助员工找回登录凭据”。文件补充称，双方最初于2013年签署了相关合同，之后对服务协议进行了多次更新。

高乐氏指责高知特在提供凭据重设或找回支持时，没有遵循公司制定的“简单明了的操作流程”。

诉状指出，早在2023年2月（即网络攻击发生前数月），高乐氏的内部服务台经理就曾请求更新凭据支持流程。在多次催促后，高知特服务台的负责人回应称“该流程已落实”，还在回复中使用了过去时：“已对团队进行了培训”。

然而，诉状称：“高知特客服与网络犯罪分子的通话揭露，这番表述完全是谎言。”

诉状指出，高知特并未面临任何精心设计的骗局或复杂的黑客技术。网络犯罪分子只是拨打了高知特服务台的电话，请求获取访问高乐氏网络的凭据，而高知特竟直接将凭据交给了对方。根据录音记录，高知特在未进行任何身份验证的情况下，轻率地向网络犯罪分子提供了高乐氏企业网络的“钥匙”。

通话内容如下：

-网络犯罪分子：我没有密码，无法连接。

-高知特客服：哦，好吧。那我把密码提供给你可以吗？

-网络犯罪分子：好的，嗯，行吧，密码是什么？

-高知特客服：等一下。它是以“Welcome...”开头的。

攻击者冒充员工屡屡成功重置账号访问权限

据诉状描述，高乐氏制定的凭据支持响应流程规定，在高乐氏员工提出密码重置请求后，客服应“引导员工使用高乐氏的身份验证与自助重置工具MyID；若MyID不可用，则必须通过验证员工主管姓名与MyID用户名确认其身份，并在重置密码后，向该员工和其主管的高乐氏邮箱发送必要的确认邮件”。

高乐氏指控称，在此次事件中，这些安全流程被彻底忽视。诉状指出，2023年8月11日，攻击者冒充员工拨打服务台电话，一名高知特客服代理随后为其“Okta”账户重置了访问权限，而Okta是高乐氏用于身份认证的核心平台。高乐氏称，该客服虽然曾要求攻击者连接公司VPN，但对方声称无法连接因为“没有密码”，客服便未做任何进一步身份核验，直接重置了访问权限，“这一行为严重违反了高乐氏制定的凭据支持流程”。

紧接着，攻击者又要求重置其微软多因素认证（MFA）凭据，而该客服在“未进行任何身份验证”的情况下，“多次满足了攻击者的请求”。

高乐氏进一步指出，“该客服从未向员工本人或其主管发送通知邮件，提醒其密码已被重置，违反了流程要求”。

诉状还称，攻击者进一步请求重置员工（在诉状中称为“员工1”）用于短信MFA的绑定手机号。

高乐氏指控称：“网络犯罪分子利用员工1泄露的凭据进入网络，并进一步窃取高乐氏内部信息。之后，他们将目标转向了另一名负责IT安全事务的员工——员工2的凭据。”

供应商事后响应速度缓慢

尽管高乐氏在“黑客首次入侵后3小时内”便将其清除出系统环境，但公司称，为了防止事态进一步恶化，随后不得不关闭系统，导致“灾难性”的业务中断。公司被迫停产，并在“数周”内依赖人工方式处理订单，造成产品短缺和“巨额销售损失”。

此外，公司还批评高知特在事发后的响应缓慢，指出当高乐氏紧急要求高知特重新安装“被攻击者卸载的一项关键网络安全工具”时，高知特竟花费了一个多小时完成原本15分钟内应完成的任务。公司还表示，包括数据库恢复、IP地址列表更新、账户停用等关键任务，也都未能被妥善处理。

高乐氏现正寻求3.8亿美元赔偿，并要求案件由陪审团审理。

这家市值160亿美元的漂白剂巨头，在去年实现营收70亿美元，其产品品牌覆盖从常见消毒清洁用品，到烧烤木炭、猫砂、垃圾袋以及Hidden Valley沙拉酱等多个品类。

就此次诉讼事件，外媒The Register联系高知特求证。高知特发言人回应称：

“像高乐氏这样规模的公司，居然拥有如此薄弱的内部网络安全体系，令人震惊。高乐氏企图将自身在此次事件中的失败归咎于我们，而事实是，高乐氏聘请高知特仅提供有限范围的服务台支持服务。高知特完全履行了其职责，并未承担高乐氏网络安全的相关责任。”

参考资料：https://www.theregister.com/2025/07/23/lawsuit_clorox_vs_cognizant/

声明：本文来自安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。