E-mailmarketingservice Mailchimp heeft maandag een datalek onthuld dat heeft geleid tot het compromitteren van een interne tool om ongeautoriseerde toegang tot klantaccounts te krijgen en phishing-aanvallen uit te voeren.
De ontwikkeling was eerst gemeld door Bleeping Computer.
Het bedrijf, dat werd overgenomen door een financieel softwarebedrijf, intuïtief in september 2021, vertelde de publicatie dat het op 26 maart op de hoogte werd gebracht van het incident toen het ontdekte dat een kwaadwillende partij toegang had tot de klantenondersteuningstool.
“Het incident werd gepropageerd door een externe actor die een succesvolle social engineering-aanval op Mailchimp-medewerkers uitvoerde, waardoor de inloggegevens van medewerkers in gevaar kwamen”, aldus Siobhan Smyth, Chief Information Security Officer van Mailchimp.
Hoewel Mailchimp verklaarde dat het snel handelde om de toegang tot het gehackte werknemersaccount te beëindigen, werden de overgehevelde inloggegevens gebruikt om toegang te krijgen tot 319 MailChimp-accounts en om de mailinglijsten met betrekking tot 102 accounts verder te exporteren.
De niet-geïdentificeerde acteur zou ook toegang hebben gekregen tot: API-sleutels voor een niet-gespecificeerd aantal klanten, die volgens het bedrijf zijn uitgeschakeld, waardoor wordt voorkomen dat de aanvallers de API-sleutels misbruiken om op e-mail gebaseerde phishing-campagnes op te zetten.
In de nasleep van de inbraak raadt het bedrijf klanten ook aan om tweefactorauthenticatie in te schakelen om hun accounts te beveiligen tegen overnameaanvallen.
De erkenning komt als cryptocurrency-portemonneebedrijf Trezor op zondag zei dat het is onderzoeken een mogelijk beveiligingsincident als gevolg van een opt-in-nieuwsbrief gehost op Mailchimp nadat de acteur de gestolen gegevens opnieuw had gebruikt om stuur malafide e-mails beweren dat het bedrijf een beveiligingsincident had meegemaakt.
De frauduleuze e-mail, die kwam met een vermeende link om een bijgewerkte versie van de Trezor Suite te downloaden die wordt gehost op wat eigenlijk een phishing-site is, zette nietsvermoedende ontvangers ertoe aan hun portemonnee te koppelen en de zaadzin op de trojanized lookalike applicatie, waardoor de tegenstander het geld kan overboeken naar een portemonnee onder hun controle.
“Deze aanval is uitzonderlijk in zijn verfijning en was duidelijk tot op een hoog niveau van detail gepland,” Trezor uitgelegd. “De phishing-applicatie is een gekloonde versie van Trezor Suite met zeer realistische functionaliteit en bevatte ook een webversie van de app.”
“Mailchimp heeft bevestigd dat hun service is gecompromitteerd door een insider die zich richt op cryptobedrijven”, zegt Trezor later getweet. “We zijn erin geslaagd om het phishing-domein te veroveren [trezor.us] offline”, waarschuwde de gebruikers om tot nader order geen e-mails van het bedrijf te openen.
Het Amerikaanse bedrijf heeft tot nu toe niet duidelijk gemaakt of de aanval is uitgevoerd door een ‘insider’. Het is in dit stadium ook onduidelijk hoeveel andere cryptocurrency-platforms en financiële instellingen worden getroffen door het incident.
Een tweede bevestigd slachtoffer van de inbreuk is Decentraland, een 3D virtuele wereld browsergebaseerd platform, dat op maandag onthuld dat zijn “e-mailadressen van nieuwsbriefabonnees zijn gelekt bij een datalek van Mailchimp.”
