
Le service de marketing par e-mail Mailchimp a révélé lundi une violation de données qui a entraîné la compromission d’un outil interne pour obtenir un accès non autorisé aux comptes clients et organiser des attaques de phishing.
Le développement a été signalé pour la première fois par Bleeping Computer.
La société, qui a été acquise par la société de logiciels financiers Intuit en septembre 2021, a déclaré à la publication qu’elle avait pris connaissance de l’incident le 26 mars lorsqu’elle avait eu connaissance d’une partie malveillante accédant à l’outil de support client.
« L’incident a été propagé par un acteur externe qui a mené avec succès une attaque d’ingénierie sociale contre les employés de Mailchimp, ce qui a compromis les informations d’identification des employés », a déclaré Siobhan Smyth, responsable de la sécurité des informations chez Mailchimp.
Bien que Mailchimp ait déclaré avoir agi rapidement pour mettre fin à l’accès au compte d’employé piraté, les informations d’identification siphonnées ont été utilisées pour accéder à 319 comptes MailChimp et exporter davantage les listes de diffusion relatives à 102 comptes.
L’acteur non identifié aurait également obtenu l’accès aux clés API pour un nombre indéterminé de clients, qui, selon la société, ont été désactivés, empêchant les attaquants d’abuser des clés API pour monter des campagnes de phishing par e-mail.
À la suite de l’effraction, la société recommande également aux clients d’activer l’authentification à deux facteurs pour sécuriser leurs comptes contre les attaques de prise de contrôle.
La reconnaissance intervient alors que la société de portefeuille de crypto-monnaie Trezor a déclaré dimanche qu’elle enquêtait sur un incident de sécurité potentiel résultant d’une newsletter opt-in hébergée sur Mailchimp après que l’acteur a réutilisé les données volées pour envoyer des e-mails malveillants affirmant que la société avait subi un incident de sécurité.

L’e-mail frauduleux, qui est venu avec un lien supposé pour télécharger une version mise à jour de la suite Trezor hébergée sur ce qui est en fait un site de phishing, a incité les destinataires sans méfiance à connecter leurs portefeuilles et à entrer la phrase de départ sur l’application sosie trojanisée, permettant à l’adversaire de transférer les fonds dans un portefeuille sous leur contrôle.
« Cette attaque est exceptionnelle dans sa sophistication et a clairement été planifiée avec un haut niveau de détail », a expliqué Trezor. « L’application de phishing est une version clonée de Trezor Suite avec des fonctionnalités très réalistes, et inclut également une version Web de l’application. »
« Mailchimp a confirmé que son service avait été compromis par un initié ciblant les sociétés de cryptographie », a ensuite tweeté Trezor. « Nous avons réussi à mettre le domaine de phishing [trezor.us] hors ligne », avertissant ses utilisateurs de s’abstenir d’ouvrir les e-mails de la société jusqu’à nouvel ordre.
La société américaine n’a pas encore précisé si l’attaque a été menée par un « initié ». On ne sait pas non plus à ce stade combien d’autres plates-formes de crypto-monnaie et institutions financières sont touchées par l’incident.
Une deuxième victime confirmée de la violation est Decentraland, une plate-forme basée sur un navigateur de monde virtuel 3D, qui a révélé lundi que « les adresses e-mail de ses abonnés à la newsletter avaient été divulguées lors d’une violation de données Mailchimp ».