У Mailchimp виявлено ще одне порушення; втрачає клієнта хмарних обчислень DigitalOcean

Mailchimp втратив ще одного клієнта після нещодавнього порушення. Раніше цього тижня постачальник хмарних обчислень DigitalOcean поділився подробицями інциденту, заявивши, що розкрив адреси електронної пошти своїх клієнтів і що навіть були спроби несанкціонованого скидання пароля.

DigitalOcean виявив, що вперше помітив проблему 8 серпня, коли його клієнти перестали отримувати транзакційні електронні листи від компанії, а потім виявили, що її обліковий запис призупинено Mailchimp. Пізніше постачальник хмарної інфраструктури отримав електронний лист від Mailchimp, у якому стверджувалося, що він тимчасово відключив обліковий запис компанії «через порушення умов обслуговування». Після цього DigitalOcean отримав повідомлення про те, що скидання пароля відбулося без відома клієнта.

«Усвідомлюючи ймовірний зв’язок між нашою раптовою втратою транзакційної електронної пошти та потенційно зловмисними скиданнями паролів, які доставляються електронною поштою, інцидент безпеки та розслідування було розпочато паралельно з тим, як команди усунули збій нашої електронної пошти», — сказав Тайлер Хілі, віце-президент служби безпеки. DigitalOcean. «Одним із перших відкриттів стала адреса електронної пошти, яка не належить DigitalOcean, і яка з’явилася у звичайному листі від Mailchimp 7 серпня. Електронного листа [@]arxxwalls.com не було в подібному листі Mailchimp 6 серпня. Це змусило нас переконатися, що наш обліковий запис Mailchimp зламано».

Mailchimp не опублікував жодних коментарів щодо цієї проблеми, але пояснив, чому призупинив облікові записи без попередження. 12 серпня компанія електронного маркетингу опублікував короткий блог:

«У відповідь на нещодавню атаку, націлену на користувачів Mailchimp, пов’язаних із криптотехнологіями, ми вжили профілактичних заходів, щоб тимчасово призупинити доступ до облікових записів, у яких ми виявили підозрілу активність, на час подальшого розслідування інциденту. Ми вжили цю дію, щоб захистити дані наших користувачів, а потім швидко сповістили всіх основних контактів про заражені облікові записи та застосували додатковий набір посилених заходів безпеки. Ми не призупиняли облікові записи на основі їх галузі, і ми прагнемо продовжувати обслуговувати криптокомпанії».

Хілі додав, що Mailchimp офіційно повідомила компанію про несанкціонований доступ лише 10 серпня. DigitalOcean вважає, що причиною інциденту став «зловмисник, який скомпрометував внутрішні інструменти Mailchimp», і сказав, що власне розслідування привело його до IP-адреси, яка натискає скидання пароля. на кілька рахунків клієнтів.

«Наша внутрішня реєстрація показала, що IP-адреса зловмисника x.213.155.164 успішно змінила пароль, але в наведеному нижче випадку не вдалося отримати доступ до облікового запису через другофакторну автентифікацію в обліковому записі. Зловмисник не намагався завершити другий фактор», – поділився Хілі. «Зв’язавши події скидання пароля з IP-адресою зловмисника за допомогою нашого журналу API, ми підтвердили невелику кількість облікових записів DigitalOcean, на які спрямовано зловмисне скидання пароля. Хоча не всі скидання були успішними».

DigitalOcean підтвердив, що атака припинилася після 7 серпня, і що постраждалі облікові записи вже були захищені командою, а їх власників було повідомлено про розкриття електронної адреси.

Це не перший випадок, коли Mailchimp стикався зі зломом. Ще в квітні хакерам також вдалося отримати доступ до внутрішнього інструменту компанії, що вплинуло на інші компанії, зокрема на компанію Trezor, яка розробляє апаратне забезпечення безпеки з відкритим кодом. Цим DigitalOcean заявив, що багато чому навчився з цього інциденту, особливо про важливість двофакторної автентифікації. Компанія також заявила, що остаточно припинила співпрацю з Mailchimp 9 серпня минулого року.