Mailchimp upplever ytterligare ett brott; förlorar cloud computing-kund DigitalOcean

Mailchimp förlorade ytterligare en kund efter en nyligen brott. Tidigare i veckan, leverantören av molndatorer DigitalOcean delade detaljerna om händelsen, och sa att det avslöjade sina kunders e-postadresser och att otillåtna lösenordsåterställningar till och med gjordes.

DigitalOcean avslöjade att det först märkte problemet den 8 augusti, när dess kunder slutade ta emot transaktionsmail från företaget, bara för att upptäcka att dess konto hade stängts av av Mailchimp. Senare fick molninfrastrukturleverantören ett e-postmeddelande från Mailchimp som hävdade att det tillfälligt inaktiverade företagets konto "på grund av brott mot användarvillkoren." Efter detta fick DigitalOcean rapporter om att en lösenordsåterställning skett utan kundens vetskap.

"För att känna igen ett troligt samband mellan vår plötsliga förlust av transaktions-e-post och potentiellt skadliga lösenordsåterställningar, som levereras via e-post, lanserades en säkerhetsincident och en utredning parallellt med att teamen tog itu med vårt e-postavbrott", säger Tyler Healy, VP Security på DigitalOcean. "En av de första upptäckterna var en icke-DigitalOcean-e-postadress som dök upp på ett vanligt e-postmeddelande från Mailchimp den 7 augusti. E-postmeddelandet [@]arxxwalls.com fanns inte på ett liknande Mailchimp-e-postmeddelande den 6 augusti. Detta fick oss att starkt tro att vårt Mailchimp-konto hade äventyrats."

Mailchimp släppte inte någon kommentar riktad mot denna fråga, men den klargjorde varför den stängde av konton utan förvarning. Den 12 augusti, e-postmarknadsföringsföretaget har lagt upp en kort blogg:

"Som svar på en attack nyligen riktad mot Mailchimps kryptorelaterade användare, har vi vidtagit proaktiva åtgärder för att tillfälligt stänga av kontoåtkomst för konton där vi upptäckt misstänkt aktivitet medan vi undersöker incidenten vidare. Vi vidtog den här åtgärden för att skydda våra användares data och agerade sedan snabbt för att meddela alla primära kontakter om påverkade konton och implementera ytterligare en uppsättning förbättrade säkerhetsåtgärder. Vi stängde inte av konton baserat på deras bransch, och vi är fast beslutna att fortsätta att tjäna kryptoföretag."

Healy tillade att Mailchimp formellt meddelade företaget om den obehöriga åtkomsten först den 10 augusti. DigitalOcean trodde att incidenten orsakades av "en angripare som hade äventyrat Mailchimps interna verktyg" och sa att dess egen undersökning ledde till en IP-adress som tryckte på lösenordsåterställningen till ett antal av sina kundkonton.

"Vår interna loggning indikerade att angriparens IP-adress x.213.155.164 framgångsrikt hade ändrat lösenordet, men i fallet nedan misslyckades att komma åt kontot på grund av den andra faktorns autentisering på kontot. Angriparen försökte inte slutföra den andra faktorn”, delade Healy. "Korrelerande lösenordsåterställningshändelser från angriparens IP-adress via vår API-loggning bekräftade vi det lilla antalet DigitalOcean-konton som var målsatta för skadliga lösenordsåterställningar. Även om inte alla återställningar lyckades."

DigitalOcean bekräftade att attacken upphörde efter den 7 augusti och att berörda konton redan var säkrade av teamet, med deras ägare underrättade om exponeringen av e-postadresser.

Det är inte första gången som Mailchimp upplever intrångsproblem. Tillbaka i april lyckades hackare också komma åt företagets interna verktyg, vilket påverkade andra företag, särskilt open-source säkerhetshårdvaruföretaget Trezor. Med detta sa DigitalOcean att de lärde sig mycket av händelsen, särskilt om vikten av tvåfaktorsautentisering. Företaget sa också att det äntligen avslutade sin verksamhet med Mailchimp den 9 augusti.