E-posta pazarlama uzmanı Mailchimp, bir yıl içinde bir sosyal mühendislik saldırısından kaynaklanan üçüncü veri ihlaline maruz kaldı, ancak bu vesileyle, olaya hızlı ve samimi yanıtı nedeniyle bazı övgüler kazandı.
İlk olarak 13 Ocak Cuma günü yayınlanan ve daha sonra 17 Ocak Salı günü güncellenen bir açıklamada Mailchimp, ihlali ilk olarak 11 Ocak Çarşamba günü tespit ettiğini söyledi. Saldırı, yetkisiz bir tarafın, 133 müşterinin verilerine erişmeden önce çalışanlarını kimlik avı yaparak ve kimlik bilgilerini çalarak müşteri desteğine ve yönetici araçlarına eriştiğini gördü.
Mailchimp, etkilenen hesaplar için hesap erişimini derhal askıya aldığını ve bu hesaplar için birincil irtibat kişilerini 24 saat içinde bilgilendirdiğini söyledi. O zamandan beri erişimi güvenli bir şekilde yeniden sağlamak ve gerekli desteği sağlamak için onlarla birlikte çalışıyor.
“Bugüne kadar yaptığımız araştırmaya göre, hedeflenen bu olay 133 Mailchimp hesabıyla sınırlandırıldı. Şirket, bu gizliliğin Intuit sistemlerini veya bu Mailchimp hesaplarının ötesindeki müşteri verilerini etkilediğine dair hiçbir kanıt yok” dedi.
“Bunun gibi olayların belirsizliğe neden olabileceğini biliyoruz ve herhangi bir hayal kırıklığı için çok üzgünüz. Araştırmamıza devam ediyoruz ve etkilenen hesap sahiplerine süreç boyunca zamanında ve doğru bilgiler sağlayacağız” dedi.[email protected]).
Mailchimp bu vesileyle oldukça hızlı hareket etse de, onu etkileyen en son olay, kuruluşta bir iç uzlaşma modelini sürdürüyor gibi görünüyor.
Nisan 2022’de, Bitcoin donanım cüzdan üreticisi Trezor da dahil olmak üzere kripto para şirketleri, bir tehdit aktörünün Mailchimp’i ihlal etmesinden sonra kimlik avı kampanyalarının hedefi oldu. Bu saldırı aynı zamanda, o zamanki CISO’su Siobhan Smyth tarafından onaylandığı üzere, dahili bir müşteri destek aracına kötü niyetli erişimin sonucuydu.
Ağustos 2022’de ortaya çıkan ve şu anda ABD merkezli bir sağlık şirketinde CIO olarak çalışan Smyth’in işine mal olduğu anlaşılan ikinci olay, aynı zamanda bir bulut altyapısı uzmanı olan DigitalOcean’ın müşterileri olan kripto sektöründe çalışan kuruluşları hedef aldı. Hizmetler. Saldırının ardından Mailchimp’i terk eden DigitalOcean, bu saldırının Mailchimp’in dahili araçlarını tehlikeye atan bir saldırganın sonucu olduğunu anladığını söyledi.
Nihayetinde bu saldırı, kimlik ve erişim yönetimi (IAM) uzmanı Okta’nın markalaşmasından yararlanan son derece başarılı bir tedarik zinciri uzlaşma kampanyası olan Scatter Swine, namı diğer 0ktapus’un işi olarak kabul edildi. Biraz ironik bir şekilde, Okta’nın sonraki araştırması, grubun DigitalOcean’ın hizmetlerini kullanan Bitlaunch adlı bir sağlayıcı tarafından sağlanan altyapıyı kullandığına dair kanıtları ortaya çıkardı.
Eset küresel siber güvenlik danışmanı Jake Moore, olayın son derece endişe verici olduğunu söyledi: “2023, saldırganların bilgisayar korsanlığı yapmadığı, oturum açtığı yıl olacak. Üçüncü taraf araçları hedef alan sosyal mühendislik saldırıları daha yaygın ve karmaşık hale geliyor. ve son aylarda bazı büyük isimlerin büyük sonuçlarla hedef alındığını gördük” dedi.
“Bu, ayrıntıları açığa çıkan çok az sayıda müşteri gibi görünse de, bu yine de çok endişe verici bir veri ihlalidir… Hiç şüphe yok ki, çalınan verilerden daha fazlasını sızdırmak için girişimlerde bulunulacaktı, ancak bu yine de sonuçlanacak. Müşterilerinin kişisel olarak tanımlanabilir bilgileriyle birlikte büyük miktarlarda müşteri verilerini depolamasıyla tanınan şirket için bir utanç.”
ImmuniWeb kurucusu Ilia Kolochenko şunları söyledi: “133 müşteri hesabına yetkisiz erişim, Mailchimp gibi büyük bir şirket için çok önemsiz bir güvenlik olayı.
“Olayın şeffaf bir şekilde ifşa edilmesi, Mailchimp’te yerleşik bir DFIR sürecinin ve yüksek etik standartlarının kanıtıdır, çünkü benzer büyüklükteki çoğu işletme, yasa tarafından öngörülen veya sözleşmeden doğan yükümlülükler tarafından dayatılan zorunlu ifşaattan kaçınmak için muhtemelen geçerli bir mazeret bulmaya çalışacaktır.”
Kolochenko, sözde saldırı vektörünün son derece verimli olduğunu, her zaman birden fazla kurban talep ettiğini, en iyi çok katmanlı savunmaların ve gelişmiş kontrollerin bile dürüst bir hataya karşı genellikle etkisiz olduğunu ekledi. Mailchimp’in sorunu açık bir şekilde tespit ettiğini ve sorunu hızlı bir şekilde kontrol altına aldığını, çünkü güvenliği ihlal edilen müşteri destek temsilcisinin veya aracıların kesinlikle çok daha fazla müşterinin verilerine erişimi olacağını söyledi.
En son saldırıdan etkilendiği bilinen kuruluşlardan biri, bağımsız mikro perakendeciler tarafından kullanılan ve kısa bir süre sonra müşterilerini bilgilendiren açık kaynaklı bir e-ticaret platformu olan WooCommerce’dir.
Bildirim e-postasının bir kopyasında Twitter üzerinden paylaşılanWooCommerce, ihlalin müşteri adları, mağaza URL’leri ve posta ve e-posta adresleri gibi bazı bilgilerin açığa çıkmasına neden olabileceğini anladığını, ancak ödeme verileri veya şifreleri olmadığını söyledi.
Şirket, “Mailchimp’e yetkisiz erişim sağlayan kişinin, açığa çıkan bilgilerle herhangi bir işlem yaptığına dair hiçbir gösterge yok” dedi.
“Mailchimp ile hesabımızın güvenli olduğunu ve tüm güvenlik en iyi uygulamalarını izlediğini doğruladık ve bu ihlalin nedenini ve gelecekte benzer olayları önlemek için ne yaptıklarını daha iyi anlamak için onlarla birlikte çalışıyoruz. Bunun yol açmış olabileceği sorunlar veya endişeler için özür dileriz.”