A empresa de automação de marketing Mailchimp relatou ter sido vítima de uma violação de dados relacionados com um ataque de engenharia social. Isto marca o segundo ataque deste tipo que a empresa sofreu em menos de um ano.
A violação ocorreu em 11 de Janeiro e, segundo o Mailchimp, envolveu um “actor não autorizado a aceder a um das ferramentas utilizadas pelas equipas Mailchimp voltadas para o cliente para apoio ao cliente e administração de contas”.
Em seguida, o actor malicioso lançou ataques de engenharia social aos empregados do Mailchimp e empreiteiros utilizados pela empresa. Através destes ataques, o hacker conseguiu roubar as credenciais dos empregados e depois utilizou esta informação de login para obter acesso a “contas seleccionadas do Mailchimp”.
Mailchimp relatou que o ataque foi alvo e limitado a 133 contas. Na sequência do ataque, Mailchimp suspendeu o acesso às contas comprometidas no ataque para proteger os dados dos utilizadores, e notificou os proprietários das contas sobre a actividade suspeita. Todos os afectados foram notificados pelo Mailchimp até 12 de Janeiro, e a empresa tem estado a trabalhar com eles para restabelecer as suas contas em segurança.
Soubemos recentemente que Mailchimp, uma popular plataforma de correio electrónico, tinha uma quebra de dados e que a nossa conta era uma das muitas comprometidas. Utilizámos esse serviço apenas algumas vezes, e para fins limitados, mas por uma abundante prudência, quisemos partilhar o que sabemos. 🧵👇
– Yuga Labs (@yugalabs) 19 de Janeiro de 2023
O Mailchimp não publicou qualquer informação sobre os utilizadores visados pelo ataque, contudo as provas sugerem que as empresas de criptocracia e financeiras foram as vítimas pretendidas. A empresa Cryptocurrency e desenvolvedora da colecção Bored Ape Yacht Club NFT, Yuga Labs, avisou a sua comunidade a 19 de Janeiro que tinha sido vítima do ataque de engenharia social.
Numa série de tweets, a empresa criptográfica explicou que a sua conta foi “uma das muitas comprometidas” no ataque e especificou que embora a empresa não utilize frequentemente o Mailchimp, queria avisar os seus clientes de uma “abundância de cautela”. A empresa continuou a esclarecer que, embora os seus dados possam ter sido acedidos, não havia actualmente dados que tivessem sido exportados.
Este ataque de engenharia social e violação de dados espelha um ataque semelhante contra a empresa em Março de 2022, que também viu ser alvo de empresas de criptocracia e financeiras.
Violação de dados do Mailchimp’s 2022
A 26 de Março de 2022, Mailchimp foi vítima de uma violação de dados na sequência de um ataque de engenharia social. O ataque viu os hackers obterem acesso e exportarem dados de contas Mailchimp, que os actores maliciosos utilizaram então para atingir clientes de empresas que utilizavam Mailchimp para serviços relacionados com empresas.
Mailchimp disse que o incidente de segurança cibernética foi “propagado por um mau actor que conduziu um ataque bem sucedido de engenharia social aos empregados do Mailchimp, resultando no comprometimento das credenciais dos empregados”.
O mau actor também tentou enviar uma campanha de phishing aos contactos de um utilizador a partir da conta desse utilizador, utilizando a informação obtida durante o ataque.
Mailchimp relatou que 319 contas foram vistas e os dados do público foram exportados de 102 dessas contas. Uma investigação revelou que as empresas visadas eram as das indústrias de criptocracia e financeiras.
Como resultado do hack, a carteira de hardware bitcoin Trezor tinha um compromisso interno de uma base de dados de boletins informativos alojada no Mailchimp. Devido a esse compromisso, os seus utilizadores foram alvo de um ataque de phishing malicioso a 3 de Abril de 2022.
Este ataque incluiu informações falsas sobre Trezor a sofrer um “ataque de segurança”. Em seguida, levou as vítimas a descarregar e ligar as suas carteiras de Bitcoin a uma aplicação semelhante a Trezor, para além de introduzir as suas frases de sementes na aplicação.
Trezor declarou: “Para que este ataque tivesse sucesso, os utilizadores tinham de instalar o software malicioso nos seus dispositivos, altura em que o seu sistema operativo deveria identificar que o software provém de uma fonte desconhecida. Este aviso não deve ser ignorado, uma vez que todo o software oficial é assinado digitalmente pelo SatoshiLabs”.
A empresa continuou a dizer que os utilizadores só deveriam preocupar-se com os seus fundos de Bitcoin se tivessem introduzido as suas frases de sementes na aplicação maliciosa.