E-posta pazarlama şirketi MailChimp Pazar günü, kitle verilerini çalmak ve kimlik avı saldırıları yapmak için dahili müşteri desteği ve hesap yönetimi araçlarına erişim sağlayan bilgisayar korsanları tarafından vurulduklarını açıkladı.
Pazar sabahı, Twitter raporlarla dolup taşmak Şirketin bir veri ihlali yaşadığını iddia eden kimlik avı bildirimleri alan Trezor donanım kripto para cüzdanı sahiplerinden.
Bu e-postalar, Trezort müşterilerinin, depolanan kripto para biriminin çalınmasına izin veren kötü amaçlı yazılımları indirerek donanım cüzdan PIN’lerini sıfırlamasını istedi.
Kaynak: heyecan
Güvenli daha sonra paylaşıldı MailChimp’in, kimlik avı saldırısını gerçekleştiren kripto para birimi endüstrisini hedef alan tehdit aktörleri tarafından ele geçirildiğini söyledi.
MailChimp hedefli kripto, finans ihlali
MailChimp, BleepingComputer’a gönderdiği bir e-postada, ihlalin yalnızca Trezor’un hesabına tehdit aktörleri tarafından erişilmesinden daha önemli olduğunu doğruladı.
MailChimp’e göre, çalışanlarından bazıları kimlik bilgilerinin çalınmasına yol açan bir sosyal mühendislik saldırısına düştü.
MailChimp CISO, Siobhan Smyth, BleepingComputer’a verdiği demeçte, “26 Mart’ta Güvenlik ekibimiz, müşteriyle yüz yüze olan ekipler tarafından müşteri desteği ve hesap yönetimi için kullanılan dahili araçlarımızdan birine erişen kötü niyetli bir aktörün farkına vardı.”
“Olay, Mailchimp çalışanlarına başarılı bir sosyal mühendislik saldırısı gerçekleştiren ve çalışan kimlik bilgilerinin tehlikeye atılmasına neden olan harici bir aktör tarafından yayıldı.”
“Güvenliği ihlal edilmiş çalışan hesaplarına erişimi sonlandırarak durumu çözmek için hızlı davrandık ve ek çalışanların etkilenmesini önlemek için adımlar attık.”
Bu kimlik bilgileri, 319 MailChimp hesabına erişmek ve 102 müşteri hesabından muhtemelen posta listeleri olan “kitle verilerini” dışa aktarmak için kullanıldı.
Hesapları görüntülemeye ve verileri dışa aktarmaya ek olarak, tehdit aktörleri, şu anda devre dışı bırakılan ve artık kullanılamayan, açıklanmayan sayıda müşteri için API anahtarlarına erişim kazandı.
Uygulama Programlama Arayüzü (API) anahtarları MailChimp müşterilerine izin veren erişim belirteçleri hesaplarını yönetmek ve doğrudan kendi web sitelerinden veya platformlarından pazarlama kampanyaları gerçekleştirmek.
Bu güvenliği ihlal edilmiş API anahtarlarını kullanarak bir tehdit aktörü, kimlik avı kampanyaları gibi özel e-posta kampanyaları oluşturabilir ve bunları MailChimp’in müşteri portalına erişmeden posta listelerine gönderebilir.
Smyth, BleepingComputer’a, güvenliği ihlal edilen tüm hesap sahiplerinin bilgilendirildiğini ve tehdit aktörlerinin kripto para ve finans sektörlerindeki müşterilere eriştiğini söyledi.
MailChimp, bu erişimin çalınan kişilere karşı kimlik avı kampanyaları yürütmek için kullanıldığına dair raporlar aldıklarını ancak bu saldırılarla ilgili bilgileri açıklamadıklarını söylüyor.
MailChimp, tüm müşterilerin daha fazla koruma için hesaplarında iki faktörlü kimlik doğrulamayı etkinleştirmesini önerir.
“Bu olay için kullanıcılarımızdan içtenlikle özür dileriz ve bunun kullanıcılarımız ve müşterileri için rahatsızlık yarattığının ve soru işaretleri yarattığının farkındayız. Güvenlik kültürümüz, altyapımız ve müşterilerimizin verilerini korumak için bize duydukları güvenden gurur duyuyoruz. “kullanıcılarımızın verilerini korumak ve gelecekteki olayları önlemek için uyguladığımız güvenlik önlemlerine ve sağlam süreçlerimize güveniyoruz.”
Siobhan Smyth, Mailchimp’in CISO’su.
Bu saldırı, sosyal mühendislik, kötü amaçlı yazılım ve kimlik bilgisi hırsızlığını kullanarak çok sayıda tanınmış şirkete erişim sağlayan Lapsus$ bilgisayar korsanlığı grubunun son ihlallerini hatırlatıyor. Nvidia, Samsung, Microsoftve sekiz.
Okta ihlali, MailChimp’e benzer bir yöntemle, dahili müşteri desteği ve hesap yönetim sistemlerine erişimi olan bir yüklenicinin sosyal mühendislikle gerçekleştirildi.
BleepingComputer, MailChimp ve Trezor’a ihlalle ilgili daha fazla soru gönderdi, ancak geri dönmedi.