Le service de marketing par e-mail Mailchimp a révélé lundi une violation de données qui a entraîné la compromission d’un outil interne pour obtenir un accès non autorisé aux comptes clients et organiser des attaques de phishing.
Le développement a d’abord été signalé par Bleeping Computer.
La société, qui a été acquise par une société de logiciels financiers Intuitif en septembre 2021, a déclaré à la publication qu’elle avait pris connaissance de l’incident le 26 mars lorsqu’elle avait pris connaissance d’une partie malveillante accédant à l’outil de support client.
“L’incident a été propagé par un acteur externe qui a mené avec succès une attaque d’ingénierie sociale contre les employés de Mailchimp, ce qui a compromis les informations d’identification des employés”, a déclaré Siobhan Smyth, responsable de la sécurité de l’information chez Mailchimp.
Bien que Mailchimp ait déclaré avoir agi rapidement pour mettre fin à l’accès au compte d’employé piraté, les informations d’identification siphonnées ont été utilisées pour accéder à 319 comptes MailChimp et exporter davantage les listes de diffusion relatives à 102 comptes.
L’acteur non identifié aurait également eu accès à Clés API pour un nombre indéterminé de clients, qui, selon la société, ont été désactivés, empêchant les attaquants d’abuser des clés API pour monter des campagnes de phishing par e-mail.
À la suite de l’effraction, la société recommande également aux clients d’activer l’authentification à deux facteurs pour sécuriser leurs comptes contre les attaques de prise de contrôle.
La reconnaissance intervient alors que la société de portefeuille de crypto-monnaie Trezor a déclaré dimanche qu’il était enquêtant un incident de sécurité potentiel résultant d’une newsletter opt-in hébergée sur Mailchimp après que l’acteur a réutilisé les données volées pour envoyer des e-mails malveillants alléguant que l’entreprise avait subi un incident de sécurité.
L’e-mail frauduleux, qui était accompagné d’un lien supposé pour télécharger une version mise à jour de la suite Trezor hébergée sur ce qui est en fait un site de phishing, a incité les destinataires sans méfiance à connecter leurs portefeuilles et à entrer dans le phrase de départ sur l’application sosie trojanisée, permettant à l’adversaire de transférer les fonds vers un portefeuille sous son contrôle.
“Cette attaque est exceptionnelle dans sa sophistication et a clairement été planifiée avec un haut niveau de détail”, Trezor expliqué. “L’application de phishing est une version clonée de Trezor Suite avec des fonctionnalités très réalistes, et inclut également une version Web de l’application.”
“Mailchimp a confirmé que son service avait été compromis par un initié ciblant les sociétés de cryptographie”, a déclaré Trezor plus tard. tweeté. “Nous avons réussi à prendre le domaine du phishing [trezor.us] hors ligne », avertissant ses utilisateurs de s’abstenir d’ouvrir les e-mails de l’entreprise jusqu’à nouvel ordre.
La société américaine n’a pas encore précisé si l’attaque a été menée par un “initié”. On ne sait pas non plus à ce stade combien d’autres plates-formes de crypto-monnaie et institutions financières sont touchées par l’incident.
Une deuxième victime confirmée de la violation est Decentraland, une plate-forme basée sur un navigateur de monde virtuel 3D, qui lundi divulgué que “les adresses e-mail de ses abonnés à la newsletter ont été divulguées lors d’une violation de données Mailchimp”.