Mailchimp сталкивается с еще одним взломом; теряет клиента облачных вычислений DigitalOcean

Mailchimp потерял еще одного клиента после недавнего нарушение. Ранее на этой неделе поставщик облачных вычислений DigitalOcean поделился подробностями происшествия, заявив, что она раскрыла адреса электронной почты своих клиентов и даже предпринимала попытки несанкционированного сброса пароля.

DigitalOcean сообщила, что впервые заметила проблему 8 августа, когда ее клиенты перестали получать транзакционные электронные письма от компании только для того, чтобы обнаружить, что их учетная запись была заблокирована Mailchimp. Позже поставщик облачной инфраструктуры получил электронное письмо от Mailchimp, в котором утверждалось, что он временно отключил учетную запись компании «из-за нарушения условий обслуживания». После этого в DigitalOcean поступили сообщения о том, что сброс пароля произошел без ведома заказчика.

«Признавая вероятную связь между нашей внезапной потерей транзакционной электронной почты и потенциально злонамеренными сбросами паролей, которые доставляются по электронной почте, инцидент безопасности и расследование были начаты параллельно с командами, занимающимися нашим отключением электронной почты», — сказал Тайлер Хили, вице-президент по безопасности в DigitalOcean. «Одним из первых открытий был адрес электронной почты, не принадлежащий DigitalOcean, который появился в обычном электронном письме от Mailchimp 7 августа. Электронной почты [@]arxxwalls.com не было в аналогичной электронной почте Mailchimp от 6 августа. Это заставило нас твердо поверить в то, что наша учетная запись Mailchimp была скомпрометирована».

Mailchimp не опубликовал никаких комментариев по этому поводу, но пояснил, почему заблокировал учетные записи без предварительного уведомления. 12 августа компания по электронному маркетингу разместил короткий блог:

«В ответ на недавнюю атаку, направленную на пользователей Mailchimp, связанных с криптографией, мы приняли упреждающие меры, чтобы временно приостановить доступ к учетным записям для учетных записей, в которых мы обнаружили подозрительную активность, на время дальнейшего расследования инцидента. Мы предприняли это действие, чтобы защитить данные наших пользователей, а затем быстро уведомили все основные контактные лица затронутых учетных записей и внедрили дополнительный набор усиленных мер безопасности. Мы не приостанавливали учетные записи из-за их отрасли, и мы стремимся продолжать обслуживать криптокомпании».

Хили добавил, что Mailchimp официально уведомила компанию о несанкционированном доступе только 10 августа. DigitalOcean считает, что инцидент был вызван «злоумышленником, который скомпрометировал внутренние инструменты Mailchimp», и сказал, что их собственное расследование привело к тому, что IP-адрес подтолкнул к сбросу пароля. на ряд своих клиентских счетов.

«Наш внутренний журнал показал, что IP-адрес злоумышленника x.213.155.164 успешно изменил пароль, но в приведенном ниже случае ему не удалось получить доступ к учетной записи из-за двухфакторной аутентификации учетной записи. Злоумышленник не пытался выполнить второй фактор», — поделился Хили. «Сопоставив события сброса пароля с IP-адреса злоумышленника с помощью нашего журнала API, мы подтвердили небольшое количество учетных записей DigitalOcean, на которые нацелен вредоносный сброс пароля. Хотя не все сбросы были успешными».

DigitalOcean подтвердила, что атака прекратилась после 7 августа и что затронутые учетные записи уже были защищены командой, а их владельцы были уведомлены о раскрытии адресов электронной почты.

Это не первый случай, когда Mailchimp сталкивается с проблемами взломов. Еще в апреле хакерам также удалось получить доступ к внутреннему инструменту компании, что затронуло другие компании, в частности компанию Trezor, производящую оборудование для обеспечения безопасности с открытым исходным кодом. При этом DigitalOcean заявила, что многому научилась из этого инцидента, особенно о важности двухфакторной аутентификации. Компания также заявила, что окончательно прекратила сотрудничество с Mailchimp 9 августа прошлого года.