DigitalOcean 警告客户,最近的 MailChimp 安全漏洞暴露了一些客户的电子邮件地址,少数客户收到未经授权的密码重置。
该公司表示,他们是在 MailChimp 于 8 月 8 日在没有警告的情况下禁用了他们的帐户后首次得知违规行为。DigitalOcean 使用此 MailChimp 帐户向客户发送电子邮件确认、密码重置通知和警报。
DigitalOcean 表示,同一天,一位客户通知他们的网络安全团队,他们的密码在未经授权的情况下被重置。
经过调查,他们发现一个来自@arxxwalls.com域的未经授权的电子邮件地址被添加到他们的 MailChimp 帐户中,并从 8 月 7 日开始在电子邮件中使用。
DigitalOcean 认为他们的 MailChimp 帐户遭到入侵,表示他们联系了该公司,但直到 8 月 10 日才得到回复,当时他们得知黑客获得了 MailChimp 内部支持工具的访问权限。
“Mailchimp 于 8 月 10 日正式通知我们,我们理解为攻击者已破坏 Mailchimp 内部工具,未经授权访问我们和其他帐户,” DigitalOcean的安全咨询解释道。
进一步的调查表明,攻击者使用被盗的客户电子邮件地址尝试通过执行密码重置来访问 DigitalOcean 帐户。这些密码重置请求源自 IP 地址 x.213.155.164。
但是,那些使用多重身份验证的帐户受到了密码重置尝试的保护。
此后,DigitalOcean 已切换到另一家电子邮件服务提供商。该公司昨天向受影响的客户通报了数据泄露事件。
MailChimp 再次被黑
至于 MailChimp,8 月 12 日发布的安全公告没有提供太多信息,只是说它针对的是与加密相关的客户。
“为了应对最近针对 Mailchimp 加密相关用户的攻击,我们已采取积极措施,暂时暂停我们检测到可疑活动的账户的账户访问,同时我们进一步调查事件,” MailChimp的简短咨询中写道。
“我们采取了这一行动来保护我们用户的数据,然后迅速采取行动,通知受影响账户的所有主要联系人,并实施一套额外的增强安全措施。
然而,在回答有关违规的问题时,MailChimp 告诉 BleepingComputer,他们是通过网络钓鱼和社会工程策略入侵的,这些策略允许黑客访问 214 个 MailChimp 帐户。
“我们最近经历了一起安全事件,其中未经授权的行为者通过使用复杂的网络钓鱼和社会工程策略来针对 Mailchimp 的加密相关用户。根据我们迄今为止的调查,似乎有 214 个 Mailchimp 帐户受到了事件的影响。” – MailChimp。
MailChimp 告诉我们,他们正在努力恢复帐户并调查此事件。
其他已知在没有通知的情况下被暂停的 MailChimp 客户包括Edge Wallet、Cointelegraph、NFT 创建者、 以太坊 FESP以及Messari 和 Decrypt。
MailChimp 的内部支持工具 也在 2022 年 4 月遭到破坏, 以针对与加密货币相关的客户。在那次违规期间被盗的受众数据导致了 针对 Trezor 硬件钱包客户的大规模网络钓鱼活动。
在思科 披露了黑客如何 以一种应该是透明的模式破坏他们的网络之后,MailChimp 的不足之处令人耳目一新。
arxxwalls 域
作为 DigitalOcean 披露的一部分,他们提到来自 @arxxwalls.com 域的电子邮件地址被添加为其 MailChimp 帐户的发件人。
虽然 arxxwalls.com 域的所有者声明它没有用于非法活动,但它已被众多诈骗、假公司运营商和网络钓鱼攻击所滥用。
此外,BleepingComputer 的研究表明,该域被用于 伪装成防病毒订阅的回调网络钓鱼攻击。
回调攻击是一种新型的混合网络钓鱼,其增长速度非常 快,从伪装来自合法公司的电子邮件开始。这些电子邮件警告收件人,他们必须采取措施防止网络安全事件或续订价格过高的支持/防病毒订阅。
这些电子邮件中包含一个电话号码,当被呼叫时,该号码将用于从受害者那里窃取信息或提示收件人在其设备上安装远程访问软件。
威胁参与者使用这种远程访问来破坏受害者的网络,通常用于进行数据勒索或勒索软件攻击。
