Mailchimp, la plate-forme de marketing par e-mail vétéran, a confirmé que les pirates utilisaient un outil interne pour voler les données de plus de 100 de ses clients – les données étant utilisées pour monter des attaques de phishing contre les utilisateurs de services de crypto-monnaie.
La violation a été confirmée à la presse par Mailchimp lundi, mais elle a été révélée au cours du week-end lorsque les utilisateurs du portefeuille matériel de crypto-monnaie Trezor ont signalé avoir été ciblés par des e-mails de phishing sophistiqués.
MailChimp a confirmé que son service avait été compromis par un initié ciblant les sociétés de cryptographie.
Nous avons réussi à mettre le domaine de phishing hors ligne. Nous essayons de déterminer combien d’adresses e-mail ont été affectées. 1/
—Trezor (@Trezor) 3 avril 2022
Dans une déclaration envoyée à Le bord, Mailchimp CISO Siobhan Smyth a déclaré que l’entreprise avait pris connaissance de la violation le 26 mars lorsqu’elle avait détecté un accès non autorisé à un outil utilisé par les équipes d’assistance client et d’administration des comptes de l’entreprise. Bien que Mailchimp ait désactivé les comptes d’employés compromis après avoir pris connaissance de la violation, les pirates ont toujours pu afficher environ 300 comptes d’utilisateurs Mailchimp et obtenir des données d’audience de 102 d’entre eux, a déclaré Smyth.
« Nous nous excusons sincèrement auprès de nos utilisateurs pour cet incident et réalisons qu’il apporte des inconvénients et soulève des questions pour nos utilisateurs et leurs clients », a déclaré Smyth. « Nous sommes fiers de notre culture de la sécurité, de notre infrastructure et de la confiance que nos clients placent en nous pour protéger leurs données. Nous sommes confiants dans les mesures de sécurité et les processus robustes que nous avons mis en place pour protéger les données de nos utilisateurs et prévenir de futurs incidents.
Cependant, les détails du piratage montrent que la compromission des outils internes de Mailchimp n’était qu’une pièce d’un plus grand puzzle. Comme Ordinateur qui bipe rapports, l’une des listes de diffusion volées a été utilisée pour envoyer une fausse notification de violation de données aux clients de Trezor, les invitant à télécharger une nouvelle version de l’application de bureau Trezor Suite. En fait, l’e-mail dirigeait les utilisateurs vers un site de phishing qui hébergeait une fausse version de l’application, conçue pour voler la phrase de départ qui permettrait aux pirates de prendre le contrôle total du portefeuille de crypto-monnaie d’un utilisateur. Il est actuellement difficile de savoir si des utilisateurs de Trezor se sont fait voler des fonds par l’attaque.
Dans un article de blog publié lundi, Trezor a déclaré que l’attaque était « exceptionnelle dans sa sophistication et … clairement planifiée à un niveau de détail élevé », la version clonée de l’application Trezor Suite présentant une fonctionnalité réaliste à quiconque l’a installée. . SatoshiLabs, les fabricants du portefeuille Trezor, n’ont pas encore répondu aux autres questions envoyées par Le bord.
Jusqu’à présent, l’analyse de Mailchimp a conclu que les attaquants se concentraient sur l’obtention de données auprès des utilisateurs des secteurs de la crypto-monnaie et de la finance. Malheureusement pour les utilisateurs de Trezor – et pour les clients de toutes les autres organisations dont les données ont été compromises – il est sûr de dire qu’un acteur de menace qualifié connaît désormais les coordonnées de messagerie des utilisateurs et potentiellement le type de matériel et de logiciel de cryptage qu’ils utilisent.
Les utilisateurs d’appareils Trezor ont été invités à signaler toute nouvelle tentative de phishing directement à security@trezor.io. Mailchimp a déclaré que les propriétaires de tous les autres comptes compromis ont été informés, de sorte que d’autres notifications des entités concernées apparaîtront probablement bientôt.