Mailchimp subisce un'altra violazione; perde il cliente di cloud computing DigitalOcean

Mailchimp ha perso un altro cliente dopo un recente violazione. All'inizio di questa settimana, il fornitore di cloud computing DigitalOcean condiviso i dettagli dell'incidente, affermando di aver esposto gli indirizzi e-mail dei suoi clienti e di aver persino tentato di reimpostare la password non autorizzata.

DigitalOcean ha rivelato di aver notato il problema per la prima volta l'8 agosto, quando i suoi clienti hanno smesso di ricevere e-mail transazionali dall'azienda, solo per scoprire che il suo account era stato sospeso da Mailchimp. Successivamente, il provider dell'infrastruttura cloud ha ricevuto un'e-mail da Mailchimp in cui affermava di aver temporaneamente disabilitato l'account dell'azienda "a causa di una violazione dei termini di servizio". Successivamente, DigitalOcean ha ricevuto segnalazioni che si era verificata una reimpostazione della password all'insaputa del cliente.

"Riconoscendo una probabile connessione tra la nostra improvvisa perdita di e-mail transazionali e reimpostazioni delle password potenzialmente dannose, che vengono inviate tramite e-mail, un incidente di sicurezza e un'indagine sono stati avviati parallelamente ai team che si sono occupati della nostra interruzione della posta elettronica", ha affermato Tyler Healy, VP Security di Oceano Digitale. “Una delle prime scoperte è stata un indirizzo e-mail non DigitalOcean apparso su una normale e-mail di Mailchimp il 7 agosto. L'e-mail di [@]arxxwalls.com non era presente in un'e-mail simile di Mailchimp il 6 agosto. Questo ci ha portato a credere fermamente che il nostro account Mailchimp fosse compromesso".

Mailchimp non ha rilasciato alcun commento diretto a questo problema, ma ha chiarito perché ha sospeso gli account senza preavviso. Il 12 agosto, la società di email marketing postato un breve blog:

"In risposta a un recente attacco che ha preso di mira gli utenti legati alle criptovalute di Mailchimp, abbiamo adottato misure proattive per sospendere temporaneamente l'accesso all'account per gli account in cui abbiamo rilevato attività sospette mentre indaghiamo ulteriormente sull'incidente. Abbiamo intrapreso questa azione per proteggere i dati dei nostri utenti, quindi abbiamo agito rapidamente per notificare a tutti i contatti principali gli account interessati e implementare una serie aggiuntiva di misure di sicurezza avanzate. Non abbiamo sospeso gli account in base al loro settore e ci impegniamo a continuare a servire le società di criptovalute".

Healy ha aggiunto che Mailchimp ha notificato formalmente alla società l'accesso non autorizzato solo il 10 agosto. DigitalOcean credeva che l'incidente fosse stato causato da "un aggressore che aveva compromesso gli strumenti interni di Mailchimp" e ha affermato che la sua stessa indagine lo ha portato a un indirizzo IP che spingeva la reimpostazione della password ad alcuni dei suoi conti clienti.

"La nostra registrazione interna indicava che l'indirizzo IP dell'attaccante x.213.155.164 aveva modificato correttamente la password, ma nel caso seguente non è riuscito ad accedere all'account a causa dell'autenticazione del secondo fattore sull'account. L'attaccante non ha tentato di completare il secondo fattore", ha condiviso Healy. "Correlando gli eventi di reimpostazione della password dall'indirizzo IP dell'attaccante tramite la nostra registrazione API, abbiamo confermato il piccolo numero di account DigitalOcean presi di mira da reimpostazioni dannose della password. Anche se non tutti i reset hanno avuto successo".

DigitalOcean ha confermato che l'attacco è cessato dopo il 7 agosto e che gli account interessati erano già protetti dal team, con i loro proprietari informati dell'esposizione dell'indirizzo e-mail.

Questa non è la prima volta che Mailchimp ha problemi di violazione. Ad aprile, gli hacker sono anche riusciti ad accedere allo strumento interno dell'azienda, colpendo altre società, in particolare la società di hardware di sicurezza open source Trezor. Con questo, DigitalOcean ha affermato di aver imparato molto dall'incidente, in particolare sull'importanza dell'autenticazione a due fattori. La società ha anche affermato di aver finalmente concluso la sua attività con Mailchimp lo scorso 9 agosto.