Le service de marketing par e-mail Mailchimp a révélé lundi une violation de données qui a entraîné la compromission d’un outil interne pour obtenir un accès non autorisé aux comptes clients et organiser des attaques de phishing.
Le développement a d’abord été signalé par Bleeping Computer.
La société, qui a été acquise par une société de logiciels financiers Intuitif en septembre 2021, a déclaré à la publication qu’elle avait pris connaissance de l’incident le 26 mars lorsqu’elle avait pris connaissance d’une partie malveillante accédant à l’outil de support client.
« L’incident a été propagé par un acteur externe qui a mené avec succès une attaque d’ingénierie sociale contre les employés de Mailchimp, ce qui a compromis les informations d’identification des employés », a déclaré Siobhan Smyth, responsable de la sécurité de l’information chez Mailchimp.
Bien que Mailchimp ait déclaré avoir agi rapidement pour mettre fin à l’accès au compte d’employé piraté, les informations d’identification siphonnées ont été utilisées pour accéder à 319 comptes MailChimp et exporter davantage les listes de diffusion relatives à 102 comptes.
L’acteur non identifié aurait également eu accès à Clés API pour un nombre indéterminé de clients, qui, selon la société, ont été désactivés, empêchant les attaquants d’abuser des clés API pour monter des campagnes de phishing par e-mail.
À la suite de l’effraction, la société recommande également aux clients d’activer l’authentification à deux facteurs pour sécuriser leurs comptes contre les attaques de prise de contrôle.
La reconnaissance intervient alors que la société de portefeuille de crypto-monnaie Trezor a déclaré dimanche qu’il était enquêtant un incident de sécurité potentiel résultant d’une newsletter opt-in hébergée sur Mailchimp après que l’acteur a réutilisé les données volées pour envoyer des e-mails malveillants alléguant que l’entreprise avait subi un incident de sécurité.
L’e-mail frauduleux, qui était accompagné d’un lien supposé pour télécharger une version mise à jour de la suite Trezor hébergée sur ce qui est en fait un site de phishing, a incité les destinataires sans méfiance à connecter leurs portefeuilles et à entrer dans le phrase de départ sur l’application sosie trojanisée, permettant à l’adversaire de transférer les fonds vers un portefeuille sous son contrôle.
« Cette attaque est exceptionnelle dans sa sophistication et a clairement été planifiée avec un haut niveau de détail », Trezor expliqué. « L’application de phishing est une version clonée de Trezor Suite avec des fonctionnalités très réalistes, et inclut également une version Web de l’application. »
« Mailchimp a confirmé que son service avait été compromis par un initié ciblant les sociétés de cryptographie », a déclaré Trezor plus tard. tweeté. « Nous avons réussi à prendre le domaine du phishing [trezor.us] hors ligne », avertissant ses utilisateurs de s’abstenir d’ouvrir les e-mails de l’entreprise jusqu’à nouvel ordre.
La société américaine n’a pas encore précisé si l’attaque a été menée par un « initié ». On ne sait pas non plus à ce stade combien d’autres plates-formes de crypto-monnaie et institutions financières sont touchées par l’incident.
Une deuxième victime confirmée de la violation est Decentraland, une plate-forme basée sur un navigateur de monde virtuel 3D, qui lundi divulgué que « les adresses e-mail de ses abonnés à la newsletter ont été divulguées lors d’une violation de données Mailchimp ».