El especialista en marketing por correo electrónico Mailchimp ha sufrido su tercera violación de datos derivada de un ataque de ingeniería social en el espacio de un año, pero en esta ocasión ha ganado algunos elogios por su respuesta rápida y sincera al incidente.
En una declaración publicada por primera vez el viernes 13 de enero, y luego actualizada el martes 17 de enero, Mailchimp dijo que identificó la brecha por primera vez el miércoles 11 de enero. En el ataque, una parte no autorizada accedió a las herramientas de atención al cliente y administración mediante la suplantación de identidad de sus empleados y el robo de sus credenciales, antes de acceder a los datos de 133 clientes.
Mailchimp dijo que suspendió el acceso a la cuenta para las cuentas afectadas de inmediato y notificó a sus contactos principales para esas cuentas dentro de las 24 horas. Desde entonces, ha estado trabajando con ellos para restablecer el acceso de manera segura y brindar el apoyo necesario.
“Según nuestra investigación hasta la fecha, este incidente específico se ha limitado a 133 cuentas de Mailchimp. No hay evidencia de que este compromiso haya afectado los sistemas de Intuit o los datos de los clientes más allá de estas cuentas de Mailchimp”, dijo la compañía.
“Sabemos que incidentes como este pueden causar incertidumbre y lamentamos profundamente cualquier frustración. Continuamos nuestra investigación y proporcionaremos a los titulares de cuentas afectados información oportuna y precisa durante todo el proceso”, dijo la compañía, que también proporcionó una dirección de correo electrónico para que los usuarios afectados se comuniquen ([email protected]).
Si bien Mailchimp se ha movido bastante rápido en esta ocasión, el último incidente que lo afectó parece mantener un patrón de compromiso interno en la organización.
En abril de 2022, las empresas de criptomonedas, incluido el fabricante de carteras de hardware de Bitcoin, Trezor, fueron blanco de campañas de phishing después de que un actor de amenazas violara Mailchimp. Este ataque también fue el resultado de un acceso malicioso a una herramienta interna de atención al cliente, como lo confirmó su entonces CISO, Siobhan Smyth.
El segundo incidente, que parece haberle costado el trabajo a Smyth (ahora trabaja como CIO en una empresa de atención médica con sede en EE. UU.), se desarrolló en agosto de 2022 y también apuntó a organizaciones que trabajan en el sector de las criptomonedas que eran clientes de DigitalOcean, un especialista en infraestructura en la nube. servicios. DigitalOcean, que abandonó Mailchimp después del ataque, dijo que entendía que este ataque también había sido el resultado de un atacante que comprometió las herramientas internas de Mailchimp.
En última instancia, se consideró que este ataque era obra de Scatter Swine, también conocido como 0ktapus, una campaña muy exitosa de compromisos de la cadena de suministro que explotó la marca del especialista en administración de acceso e identidad (IAM) Okta. Irónicamente, la investigación posterior de Okta reveló evidencia de que el grupo estaba usando la infraestructura provista por un proveedor llamado Bitlaunch, que a su vez usaba los servicios de DigitalOcean.
El asesor de seguridad cibernética global de Eset, Jake Moore, dijo que el incidente era muy preocupante: “2023 se perfila como el año en que los atacantes no piratean, inician sesión. Los ataques de ingeniería social dirigidos a herramientas de terceros son cada vez más frecuentes y sofisticados. , y en los últimos meses hemos visto a algunos grandes nombres apuntados con grandes resultados”, dijo.
“Aunque esto puede parecer solo un número muy pequeño de clientes cuyos detalles se han visto comprometidos, sigue siendo una violación de datos muy preocupante… Sin duda, se habrían hecho intentos para desviar más datos de los que se robaron, pero esto aún terminará como una vergüenza para la empresa que es conocida por almacenar grandes cantidades de datos de clientes junto con la información de identificación personal de sus clientes”.
La fundadora de ImmuniWeb, Ilia Kolochenko, dijo: “El acceso no autorizado a 133 cuentas de clientes es un incidente de seguridad muy insignificante para una empresa tan grande como Mailchimp.
“La divulgación transparente del incidente más bien evidencia un proceso DFIR bien establecido y altos estándares de ética en Mailchimp, ya que la mayoría de las empresas de tamaño similar probablemente intentarán encontrar una excusa válida para evitar la divulgación obligatoria prescrita por la ley o impuesta por obligaciones contractuales”.
Kolochenko agregó que el supuesto vector de ataque era extremadamente eficiente, reclamando múltiples víctimas todo el tiempo, con incluso las mejores defensas de múltiples capas y controles avanzados frecuentemente ineficaces contra un error honesto. Dijo que Mailchimp había detectado claramente y contenido el problema rápidamente, dado que el agente de atención al cliente o los agentes comprometidos ciertamente habrían tenido acceso a los datos de muchos más clientes.
Una organización que se sabe que se vio afectada en el último ataque es WooCommerce, una plataforma de comercio electrónico de código abierto utilizada por microminoristas independientes, que notificó a sus clientes poco después.
En una copia del correo electrónico de notificación. compartido a través de TwitterWooCommerce dijo que entendió que la violación pudo haber resultado en la exposición de cierta información, como los nombres de los clientes, las URL de las tiendas y las direcciones postales y de correo electrónico, pero no los datos de pago ni las contraseñas.
“No hay indicios de que la persona que participó en el acceso no autorizado a Mailchimp haya tomado alguna medida con la información expuesta”, dijo la compañía.
“Hemos confirmado con Mailchimp que nuestra cuenta es segura y sigue todas las mejores prácticas de seguridad, y estamos trabajando con ellos para comprender mejor la causa de esta infracción y lo que están haciendo para evitar incidentes similares en el futuro. Pedimos disculpas por cualquier problema o inquietud que esto pueda haber causado”.