2023年夏天,全球知名清洁产品制造商克洛洛克斯(Clorox)遭遇了一场毁灭性的网络攻击,导致公司数亿美元的业务损失和广泛的运营中断。事件发生后,克洛洛克斯迅速展开调查,并最终将矛头指向其长期合作的IT服务提供商——专业帮助台运营商康卡斯特(Cognizant)。2025年7月,克洛洛克斯正式提起诉讼,指控康卡斯特帮助台承包商在未经充足身份验证的情况下多次泄露关键账户密码,直接导致了此次网络安全事件。这场诉讼不仅揭开了攻击背后的复杂社会工程学策略,也揭示了大型企业在第三方安全管理上的潜在漏洞。克洛洛克斯诉讼案的曝光,对全球企业网络安全管理提出了严厉警示。 攻击源于一系列看似普通但极具欺骗性的电话请求。
据法庭文件显示,攻击者通过假冒公司内部员工身份,拨打克洛洛克斯帮助台热线,要求重置员工网络账户的密码和多因素认证信息。尽管克洛洛克斯早在年前就制定了严格的密码重置和身份验证政策,指示帮助台工作人员必须执行多层身份确认,但康卡斯特的帮助台人员未能遵循这些指导。攻击者多次成功获取了关键账户的访问权限,甚至获得了公司内部IT安全关键岗位员工的凭据,实现了网络的深度渗透。更令人震惊的是,克洛洛克斯方面披露,相关通话录音显示,帮助台工作人员在未核实来电身份的情况下直接重置了密码和多因素认证设置,也未按照规定向账户持有人或其管理层发送通知。这样的疏忽不仅违反了既定的安全流程,更为攻击者在网络中横向移动和扩展权限创造了条件。攻击发生后,克洛洛克斯在紧急情况下采取了泛系统下线措施,暂停了生产线和自动化订单处理流程。
为了维持供应链,企业不得不回归手工处理订单,这不仅极大降低了效率,还导致旗下如Pine Sol、Burt’s Bees等品牌产品在市场上的供货出现短缺,影响了客户体验与销售业绩。在事件后的半年间,公司销售量下降了6%,货物发运延迟明显增加。 克洛洛克斯表示,网络攻击造成其直接经济损失达3.8亿美元,此外还额外花费4900万美元用于事件后期的恢复、调查和安全加固工作。公司还透露已从保险机构获得1亿美元的理赔支持。此次损失不仅反映出网络攻击给实体企业带来的巨大冲击,更凸显了网络安全风险已经悄然成为制造业和供应链管理的重要隐患。康卡斯特方面对诉讼予以强烈否认,其发言人指出,克洛洛克斯内部的网络安全体系存在明显短板。
康卡斯特认为其职责范围仅限于帮助台操作,并未管理客户的整体网络安全,因此责难无据。双方在责任界定上的争议,凸显了企业与外包服务提供商之间在安全权限和责任划分方面的复杂关系。在当今数字化、云化的企业环境中,如何确保服务供应商严格遵守安全流程,成为所有企业必须面对的挑战。克洛洛克斯这起案件也提醒管理层,单纯依赖外部承包商处理关键IT服务可能带来的风险不可忽视。社会工程学依旧是网络安全防守中的难题。此次案件中,黑客利用电话沟通这个传统人机互动渠道,以假冒身份获取信任,突破了技术防线之外的安全防护。
即使公司部署了先进的身份认证手段,如果操作人员执行不严,仍会被利用。针对这类攻击行为,企业需要持续培训员工和供应商,强化安全意识,并建立多层次、多方式的身份核验机制。此外,实施实时监测与异常行为警报体系,也能及时发现和阻断攻击者的社会工程企图。克洛洛克斯案件同时提醒企业必须对网络安全事件做好充分准备,建立完善的应急响应预案,从人员调配、系统隔离到业务流程调整,都要迅速有效地反应。通过模拟演练和跨部门协作,提高对网络事件的识别和处理能力,最大限度地降低损失。回顾此次事件,克洛洛克斯正面临的不仅是一个技术层面的风险,更是企业文化和供应链管理的考验。
企业需要从顶层设计入手,强化自身网络安全策略,严格管控第三方供应商操作权限,确保所有安全规范得到严格执行。与此同时,监管层面也可能加强对企业信息安全的要求,督促大型企业承担起更全面的安全责任。随着数字化转型步伐的加快,越来越多企业引入第三方服务支持,但网络安全威胁也日益精密和多样。克洛洛克斯事件所暴露的问题,具有广泛的警示意义。企业不仅要注重技术防护,更需强化员工和合作方的安全意识,落实安全责任制度。未来,借助人工智能和大数据分析等先进技术,构建动态且高效的身份验证体系,将成为降低社会工程攻击风险的重要手段。
总结克洛洛克斯诉讼事件,可以看出网络安全本质上是一场人与技术的协作博弈。即使拥有先进技术,没有严格的执行和管理,依然难以防范日益复杂的网络攻击。希望此次事件能够推动全球企业反思和改进自身网络安全体系,筑牢信息保护的坚实防线,避免悲剧重演。企业用户、管理者和安全专家应从中吸取经验教训,采纳全面、多层次的安全措施,应对未来可能更具破坏力的网络威胁。
