Відомий ІБ-експерт і засновник агрегатора витоків Have I Been Pwned Трой Хант (Troy Hunt) повідомив, що став жертвою фішингової атаки. Зловмисники отримали доступ до списку розсилки в Mailchimp і даних 16 000 осіб.

За словами Ханта, всі учасники скомпрометованого списку розсилки незабаром отримають повідомлення і листи з вибаченнями. Причому близько половини записів (7535 із 16 000) належать людям, які вже відписалися від розсилки. Хант пише, що не знає, з якої причини Mailchimp зберігає дані про користувачів, які відписалися, і обіцяє з’ясувати, чи не було проблем із конфігурацією на його боці.

Хант перепросив користувачів і повідомив, що «дуже засмучений тим, що попався на цю вудку». За його словами, фішингова атака була добре продумана, але фахівець визнає, що більшу роль у події відіграла його власна втома після перельотів і зміни часових поясів.

Варто зазначити, що Mailchimp не пропонує стійкі до фішингу методи двофакторної автентифікації (2ФА), як-от апаратні ключі або passkey, пропонуючи використовувати OTP, які доставляють через застосунок-автентифікатор або за допомогою SMS.
Хант додає, що API-ключ, створений у процесі шахрайського входу в акаунт, було видалено, що виключає можливість постійного доступу зловмисників до облікового запису.

Також він зазначив, що користувачам менеджерів паролів варто стежити за автозаповненням облікових даних на сайтах, оскільки відсутність такої функції може бути ознакою фішингової сторінки. Утім, це теж не є надійним захистом, оскільки існують сайти, де процес аутентифікації проходить на іншому домені. Як приклад Хант навів свій акаунт Qantas, де сайт qantas.com.au проводить аутентифікацію через accounts.qantas.com.

У своєму повідомленні Хант згадує, що частина провини за цю атаку все ж таки лежить на застосунку Outlook для iOS, який стверджував, що відправником шкідливого листа є «MailChimp Account Services», водночас не вказуючи домен, що стоїть за ним ([email protected]), що було очевидною ознакою шахрайства, оскільки зазначена адреса не має жодного стосунку до інфраструктури Mailchimp.

Домен, який використовували для розміщення фішингової сторінки для крадіжки облікових даних (mailchimp-sso.com), Cloudflare видалила за дві години після того, як дані Ханта було вкрадено.