Il servizio di email marketing Mailchimp lunedì ha rivelato una violazione dei dati che ha portato a una compromissione dei sistemi con accesso non autorizzato agli account dei clienti e alla messa in atto di attacchi di phishing.
Lo sviluppo è stato segnalato per la prima volta da Bleeping Computer.
La celebre società di servizi di email marketing, acquisita dalla società di software finanziari Intuit nel settembre 2021, ha dichiarato alla pubblicazione di essere venuta a conoscenza dell’incidente il 26 marzo quando un malintenzionato stava accedendo allo strumento di assistenza clienti.
Ingannati i dipendenti di Mailchimp
“L’incidente è stato propagato da un attore esterno che ha condotto con successo un attacco di ingegneria sociale ai dipendenti di Mailchimp, compromettendo le credenziali dei dipendenti“, ha affermato Siobhan Smyth, responsabile della sicurezza delle informazioni di Mailchimp.
Account dei clienti hackerati
Sebbene Mailchimp abbia dichiarato di aver agito rapidamente per interrompere l’accesso all’account violato del dipendente, le credenziali sottratte sono state utilizzate per accedere a 319 account MailChimp ed esportare ulteriormente le mailing list relative a 102 account.
Si ritiene inoltre che l’attore non identificato abbia ottenuto l’accesso alle chiavi API per un numero imprecisato di clienti, che secondo la società sono state disabilitate, impedendo agli aggressori di abusare delle chiavi API per organizzare campagne di phishing basate su e-mail.
Sulla scia dell’intrusione, l’azienda consiglia inoltre ai clienti di abilitare l’autenticazione a due fattori per proteggere i propri account da attacchi di acquisizione.
Trezor tra i primi clienti vittima dell’attacco
Il riconoscimento dell’attività illecita arriva quando la società di portafogli di criptovaluta Trezor ha affermato che sta indagando su un potenziale incidente di sicurezza derivante da una newsletter di attivazione ospitata su Mailchimp dopo che l’hacker ha riproposto i dati rubati per inviare e-mail fraudolente, fingendosi Trezor e dichiarando di aver subito un incidente di sicurezza.
L’e-mail fraudolenta, fornita con un presunto collegamento per scaricare una versione aggiornata di Trezor Suite ospitata su quello che in realtà è un sito di phishing, ha spinto i destinatari ignari a collegare i propri portafogli di investimento in criptovaluta, consentendo ai criminali informatici di trasferire i fondi in un portafoglio sotto il loro controllo.
Le dichiarazioni di Trezor
“Questo attacco è eccezionale nella sua raffinatezza ed è stato chiaramente pianificato con un alto livello di dettaglio“, ha spiegato Trezor. “L’applicazione di phishing è una versione clonata di Trezor Suite con funzionalità molto realistiche e includeva anche una versione Web dell’app“.
“Mailchimp ha confermato che il loro servizio è stato compromesso da un insider che prende di mira le società di criptovalute“, ha successivamente twittato Trezor. “Siamo riusciti a portare offline il dominio di phishing [trezor.us]”, avvertendo i suoi utenti di astenersi dall’aprire email dall’azienda fino a nuovo avviso.
La compagnia americana non ha finora chiarito se l’attacco sia stato compiuto da un “insider”.
Inoltre, in questa fase non è chiaro quante altre piattaforme di criptovaluta e istituzioni finanziarie siano interessate dall’incidente.
Subito un’altra vittima
Una seconda vittima confermata della violazione è Decentraland, una piattaforma basata su browser del mondo virtuale 3D, che lunedì ha rivelato che “gli indirizzi e-mail degli abbonati alle newsletter sono trapelati in una violazione dei dati di Mailchimp“.
Ti è piaciuto l’articolo? Contattaci per una consulenza in materia di sicurezza informatica: