El servicio de marketing por correo electrónico Mailchimp reveló el lunes una violación de datos que resultó en el compromiso de una herramienta interna para obtener acceso no autorizado a las cuentas de los clientes y realizar ataques de phishing.
El desarrollo fue primero reportado por Bleeping Computer.
La empresa, que fue adquirida por la firma de software financiero intuir en septiembre de 2021, le dijo a la publicación que se enteró del incidente el 26 de marzo cuando se dio cuenta de que una parte malintencionada accedió a la herramienta de atención al cliente.
«El incidente fue propagado por un actor externo que realizó un exitoso ataque de ingeniería social contra los empleados de Mailchimp, lo que resultó en que las credenciales de los empleados se vieran comprometidas», dijo Siobhan Smyth, directora de seguridad de la información de Mailchimp.
Aunque Mailchimp declaró que actuó rápidamente para cancelar el acceso a la cuenta del empleado violado, las credenciales desviadas se usaron para acceder a 319 cuentas de MailChimp y exportar más las listas de correo correspondientes a 102 cuentas.
También se cree que el actor no identificado obtuvo acceso a claves API para un número no especificado de clientes, que según la compañía han sido deshabilitados, evitando que los atacantes abusen de las claves API para montar campañas de phishing basadas en correo electrónico.
A raíz del allanamiento, la compañía también recomienda a los clientes que habiliten la autenticación de dos factores para proteger sus cuentas de los ataques de adquisición.
El reconocimiento se produce cuando la compañía de billeteras de criptomonedas Trezor dijo el domingo que es investigando un posible incidente de seguridad derivado de un boletín de suscripción alojado en Mailchimp después de que el actor reutilizó los datos robados para enviar correos electrónicos falsos alegando que la empresa había experimentado un incidente de seguridad.
El correo electrónico fraudulento, que venía con un supuesto enlace para descargar una versión actualizada de Trezor Suite alojada en lo que en realidad es un sitio de phishing, incitó a los destinatarios desprevenidos a conectar sus billeteras e ingresar al frase semilla en la aplicación similar troyana, lo que permite al adversario transferir los fondos a una billetera bajo su control.
«Este ataque es excepcional en su sofisticación y fue claramente planeado con un alto nivel de detalle», Trezor explicado. «La aplicación de phishing es una versión clonada de Trezor Suite con una funcionalidad muy realista y también incluye una versión web de la aplicación».
«Mailchimp ha confirmado que su servicio se ha visto comprometido por un infiltrado que se dirige a las empresas de cifrado», Trezor más tarde. tuiteó. «Hemos logrado tomar el dominio de phishing [trezor.us] offline», advirtiendo a sus usuarios que se abstengan de abrir cualquier correo electrónico de la empresa hasta nuevo aviso.
La compañía estadounidense no ha aclarado hasta el momento si el ataque fue llevado a cabo por un «infiltrado». Tampoco está claro en esta etapa cuántas otras plataformas de criptomonedas e instituciones financieras se ven afectadas por el incidente.
Una segunda víctima confirmada de la brecha es Decentraland, una plataforma basada en navegador de mundo virtual en 3D, que el lunes revelado que sus «direcciones de correo electrónico de los suscriptores del boletín se filtraron en una violación de datos de Mailchimp».