Mailchimp subit une autre violation ; perd son client de cloud computing DigitalOcean

Mailchimp a perdu un autre client après un récent violation. Plus tôt cette semaine, le fournisseur de cloud computing DigitalOcean partagé les détails de l'incident, affirmant qu'il a exposé les adresses e-mail de ses clients et que des réinitialisations de mot de passe non autorisées ont même été tentées.

DigitalOcean a révélé avoir remarqué le problème pour la première fois le 8 août, lorsque ses clients ont cessé de recevoir des e-mails transactionnels de la société, pour découvrir que son compte avait été suspendu par Mailchimp. Plus tard, le fournisseur d'infrastructure cloud a reçu un e-mail de Mailchimp affirmant qu'il avait temporairement désactivé le compte de l'entreprise "en raison d'une violation des conditions de service". Après cela, DigitalOcean a reçu des rapports indiquant qu'une réinitialisation du mot de passe s'était produite à l'insu du client.

" Reconnaissant un lien probable entre notre perte soudaine d'e-mails transactionnels et les réinitialisations de mots de passe potentiellement malveillantes, qui sont envoyées par e-mail, un incident de sécurité et une enquête ont été lancés en parallèle avec les équipes traitant de notre panne d'e-mail ", a déclaré Tyler Healy, vice-président de la sécurité chez Digital Ocean. "L'une des premières découvertes a été une adresse e-mail non-DigitalOcean qui est apparue sur un e-mail régulier de Mailchimp le 7 août. L'e-mail [@]arxxwalls.com n'était pas là sur un e-mail Mailchimp similaire le 6 août. Cela nous a amenés à croire fermement que notre compte Mailchimp avait été compromis.

Mailchimp n'a publié aucun commentaire concernant ce problème, mais il a expliqué pourquoi il avait suspendu les comptes sans préavis. Le 12 août, la société de marketing par e-mail a posté un court blog:

"En réponse à une récente attaque ciblant les utilisateurs liés à la cryptographie de Mailchimp, nous avons pris des mesures proactives pour suspendre temporairement l'accès aux comptes pour lesquels nous avons détecté une activité suspecte pendant que nous enquêtons plus avant sur l'incident. Nous avons pris cette mesure pour protéger les données de nos utilisateurs, puis avons agi rapidement pour informer tous les contacts principaux des comptes concernés et mettre en œuvre un ensemble supplémentaire de mesures de sécurité renforcées. Nous n'avons pas suspendu les comptes en fonction de leur secteur d'activité et nous nous engageons à continuer à servir les sociétés de cryptographie.

Healy a ajouté que Mailchimp n'avait officiellement informé l'entreprise de l'accès non autorisé que le 10 août. DigitalOcean pensait que l'incident avait été causé par "un attaquant qui avait compromis l'outillage interne de Mailchimp" et a déclaré que sa propre enquête l'avait conduit à une adresse IP poussant la réinitialisation du mot de passe. à un certain nombre de ses comptes clients.

"Notre journalisation interne a indiqué que l'adresse IP x.213.155.164 de l'attaquant avait réussi à changer le mot de passe, mais dans le cas ci-dessous, n'a pas réussi à accéder au compte en raison de l'authentification à deux facteurs sur le compte. L'attaquant n'a pas tenté de compléter le deuxième facteur », a expliqué Healy. «En corrélant les événements de réinitialisation de mot de passe à partir de l'adresse IP de l'attaquant via notre journalisation API, nous avons confirmé le petit nombre de comptes DigitalOcean ciblés par des réinitialisations de mot de passe malveillantes. Bien que toutes les réinitialisations n'aient pas réussi.

DigitalOcean a confirmé que l'attaque avait cessé après le 7 août et que les comptes concernés étaient déjà sécurisés par l'équipe, leurs propriétaires étant informés de l'exposition de l'adresse e-mail.

Ce n'est pas la première fois que Mailchimp rencontre des problèmes de violation. En avril, des pirates ont également réussi à accéder à l'outil interne de l'entreprise, affectant d'autres entreprises, en particulier la société de matériel de sécurité open source Trezor. Avec cela, DigitalOcean a déclaré avoir beaucoup appris de l'incident, en particulier sur l'importance de l'authentification à deux facteurs. La société a également déclaré avoir finalement mis fin à ses activités avec Mailchimp le 9 août dernier.