Mailchimp ervaart opnieuw een inbreuk; verliest cloud computing-klant DigitalOcean

Mailchimp verloor weer een klant na een recente overtreding. Eerder deze week heeft cloud computing-leverancier DigitalOcean de details van het incident gedeeld, en zei dat het de e-mailadressen van zijn klanten had blootgelegd en dat er zelfs pogingen waren ondernomen om ongeautoriseerde wachtwoorden te resetten.

DigitalOcean onthulde dat het het probleem voor het eerst op 8 augustus opmerkte, toen zijn klanten geen transactionele e-mails van het bedrijf meer ontvingen, om vervolgens te ontdekken dat zijn account was opgeschort door Mailchimp. Later ontving de cloudinfrastructuurprovider een e-mail van Mailchimp waarin werd beweerd dat het het account van het bedrijf tijdelijk had uitgeschakeld "vanwege schending van de servicevoorwaarden". Hierna ontving DigitalOcean meldingen dat er een wachtwoordreset had plaatsgevonden zonder medeweten van de klant.

Tyler Healy, VP Beveiliging bij Digitale Oceaan. “Een van de eerste ontdekkingen was een niet-DigitalOcean e-mailadres dat op 7 augustus op een gewone e-mail van Mailchimp verscheen. De e-mail van [@]arxxwalls.com stond niet op een vergelijkbare Mailchimp-e-mail op 6 augustus. Dit leidde ertoe dat we er sterk van overtuigd waren dat ons Mailchimp-account gecompromitteerd was.”

Mailchimp heeft geen commentaar over dit probleem vrijgegeven, maar het verduidelijkt waarom het accounts zonder kennisgeving heeft opgeschort. Op 12 augustus heeft het e-mailmarketingbedrijf een korte blog geplaatst:

“Als reactie op een recente aanval gericht op crypto-gerelateerde gebruikers van Mailchimp, hebben we proactieve maatregelen genomen om accounttoegang tijdelijk op te schorten voor accounts waar we verdachte activiteit hebben gedetecteerd, terwijl we het incident verder onderzoeken. We hebben deze actie ondernomen om de gegevens van onze gebruikers te beschermen en hebben vervolgens snel gehandeld om alle primaire contactpersonen op de hoogte te stellen van getroffen accounts en een aanvullende reeks verbeterde beveiligingsmaatregelen te implementeren. We hebben geen accounts opgeschort op basis van hun branche en we zijn vastbesloten om cryptobedrijven te blijven bedienen.”

Healy voegde eraan toe dat Mailchimp het bedrijf pas op 10 augustus formeel op de hoogte heeft gesteld van de ongeautoriseerde toegang. DigitalOcean geloofde dat het incident werd veroorzaakt door "een aanvaller die de interne tooling van Mailchimp had gecompromitteerd" en zei dat zijn eigen onderzoek ertoe leidde dat een IP-adres de wachtwoordreset pushte naar een aantal van haar klantenrekeningen.

"Onze interne logboekregistratie gaf aan dat het IP-adres van de aanvaller x.213.155.164 het wachtwoord met succes had gewijzigd, maar in het onderstaande geval geen toegang had tot het account vanwege de tweedefactorauthenticatie op het account. De aanvaller heeft niet geprobeerd om de tweede factor te voltooien', vertelde Healy. “Door wachtwoordresetgebeurtenissen van het IP-adres van de aanvaller te correleren via onze API-logging, hebben we het kleine aantal DigitalOcean-accounts bevestigd dat het doelwit is van kwaadaardige wachtwoordresets. Al waren niet alle resets succesvol.”

DigitalOcean bevestigde dat de aanval na 7 augustus stopte en dat de getroffen accounts al door het team waren beveiligd, waarbij hun eigenaren op de hoogte waren gesteld van de blootstelling aan e-mailadressen.

Dit is niet de eerste keer dat Mailchimp problemen ondervindt met inbreuken. In april wisten hackers ook toegang te krijgen tot de interne tool van het bedrijf, wat gevolgen had voor andere bedrijven, met name het open-source beveiligingshardwarebedrijf Trezor. Hiermee zegt DigitalOcean veel te hebben geleerd van het incident, met name over het belang van tweefactorauthenticatie. Het bedrijf zei ook dat het op 9 augustus eindelijk zijn zaken met Mailchimp beëindigde.