Der E-Mail-Marketing-Riese Mailchimp hat eine Datenschutzverletzung bestätigt, nachdem böswillige Hacker ein internes Unternehmenstool kompromittiert hatten, um Zugriff auf Kundenkonten zu erhalten.
In einer Erklärung gegenüber Tech sagte Siobhan Smyth, CISO von Mailchimp, dass das Unternehmen am 26. März auf das Eindringen aufmerksam wurde, nachdem es einen böswilligen Akteur identifiziert hatte, der auf ein Tool zugreift, das von den Kundensupport- und Kontoverwaltungsteams des Unternehmens verwendet wird. Der Zugriff erfolgte nach einem erfolgreichen Social-Engineering-Angriff, einem Angriffstyp, der menschliches Versagen ausnutzt und Manipulationstechniken einsetzt, um private Informationen, Zugriff oder Wertgegenstände zu erlangen.
„Wir haben schnell gehandelt, um die Situation anzugehen, indem wir den Zugriff für die kompromittierten Mitarbeiterkonten beendet und Maßnahmen ergriffen haben, um zu verhindern, dass weitere Mitarbeiter betroffen sind“, sagte Smyth.
Aber nicht schnell genug, da Hacker ungefähr 300 Mailchimp-Konten eingesehen und erfolgreich Zielgruppendaten von 102 davon exportiert haben, sagte das Unternehmen. Mailchimp lehnte es ab, genau zu sagen, auf welche Daten zugegriffen wurde, teilte Tech jedoch mit, dass die Hacker Kunden in den Bereichen Kryptowährung und Finanzen ins Visier genommen hätten. Zusätzlich zum Anzeigen von Konten und Exportieren von Daten erhielten die Angreifer Zugriff auf API-Schlüssel für eine nicht genannte Anzahl von Kunden, wodurch die Angreifer möglicherweise gefälschte E-Mails senden konnten, die jetzt jedoch deaktiviert wurden und nicht mehr verwendet werden können. Aber Smyth sagte, dass Mailchimp einige Berichte über die Hacker erhalten habe, die die Informationen, die sie von Benutzerkonten erhalten haben, verwendet haben, um Phishing-Kampagnen an ihre Kontakte zu senden.
„Wenn uns ein unbefugter Kontozugriff bekannt wird, benachrichtigen wir den Kontoinhaber und unternehmen sofort Schritte, um jeden weiteren Zugriff zu sperren“, sagte Smyth gegenüber Tech. „Wir empfehlen unseren Benutzern außerdem die Zwei-Faktor-Authentifizierung und andere Kontosicherheitsmaßnahmen als zusätzliche Maßnahmen, um Konten und Passwörter sicher zu halten.“
Smyth lehnte es ab, unsere Fragen darüber zu beantworten, welche zusätzlichen Sicherheitsmaßnahmen Mailchimp gegebenenfalls ergreift, um zukünftige Angriffe zu verhindern.
Der Vorfall, zuerst gemeldet von Computer piepst, kam am Wochenende ans Licht, nachdem Trezor, Hersteller von Kryptowährungs-Wallets, zu Twitter ging, um zu bestätigen, dass seine Benutzer infolge eines Verstoßes bei Mailchimp, das Trezor zum Versenden von Newslettern an Kunden verwendet, das Ziel von Phishing-E-Mails waren. Diese bösartigen E-Mails veranlassten Trezor-Benutzer, ihre Hardware-Wallet-PINs zurückzusetzen, indem sie bösartige Software herunterladen, die es Hackern ermöglicht hätte, die Krypto der Kunden zu stehlen, wenn sie installiert wäre.
Mailchimp wollte nicht sagen, wie viele andere Kryptowährungsdienste oder Finanzinstitute von dem Vorfall betroffen waren.