E-mailmarketingplatform MailChimp aangeklaagd wegens datalek
E-mailmarketingplatform MailChimp is in de Verenigde Staten aangeklaagd wegens een datalek waardoor een phishingaanval op gebruikers van cryptowallet Trezor kon worden uitgevoerd. Volgens de klagers zou bij deze aanval voor miljoenen aan cryptovaluta zijn gestolen (pdf).
Via MailChimp kunnen bedrijven en organisaties nieuwsbrieven en marketingmails versturen. Het lukte de aanvaller om door middel van social engineering de inloggegevens van verschillende MailChimp-medewerkers in handen te krijgen. Met deze inloggegevens kon de aanvaller inloggen op een interne tool die MailChimp gebruikt voor klantensupport en accountbeheer.
In totaal bekeek de aanvaller 319 MailChimp-accounts en besloot van 102 van deze accounts "audience data" te downloaden. Het gaat hier om gegevens die klanten van MailChimp over hun gebruikers hebben verzameld, zoals namen en e-mailadressen. Met de toegang die de aanvaller had kon hij uit naam van MailChimp-klanten phishingmails versturen. Eén van de bedrijven die gebruikmaakt van MailChimp voor het versturen van nieuwsbrieven is Trezor.
Trezor biedt een wallet waarmee gebruikers hun cryptovaluta kunnen beheren. De via MailChimp verstuurde phishingmails claimen dat Trezor met een beveiligingsincident te maken had gekregen en de ontvanger één van de slachtoffers was. Vervolgens werd ontvangers opgeroepen om de nieuwste versie van de Trezor Suite te downloaden en een nieuwe pincode voor de cryptowallet in te stellen. De link in de phishingmail wees naar een malafide website waarop een malafide app wordt aangeboden.
De klagers stellen dat MailChimp en moederbedrijf Intuit de eigen systemen niet goed hebben beveiligd, niet hebben voorkomen dat het datalek kon plaatsvinden en dit niet tijdig hebben gemeld. Daarnaast zou MailChimp nalatig zijn geweest bij de opslag van mailinglistgegevens. Met de buitgemaakte informatie was het mogelijk de phishingaanval uit te voeren.
De initiële klager stelt dat hij in de phishingmail trapte en er 82.000 dollar aan cryptovaluta is buitgemaakt. Met de massaclaim wil hij onder andere een schadevergoeding van MailChimp, zo melden Top Class Actions en Law360.
Stuur de marketingmails dan gewoon ZELF. Of helemaal NIET.
Stuur de marketingmails dan gewoon ZELF. Of helemaal NIET.
Dat is niet hoe de wereld werkt.
Als je het zelf moet doen moet je die expertise in huis hebben, als je het uitbesteedt verleg je de verantwoordelijkheid.
Denk je echt dat ale die marketingmails die verstuurd worden door bedrijven als KPN, Mediamarkt, ING en Bol.com door hen zelf gedaan worden?
Stuur de marketingmails dan gewoon ZELF. Of helemaal NIET.
Dat is niet hoe de wereld werkt.
Als je het zelf moet doen moet je die expertise in huis hebben, als je het uitbesteedt verleg je de verantwoordelijkheid.
Denk je echt dat ale die marketingmails die verstuurd worden door bedrijven als KPN, Mediamarkt, ING en Bol.com door hen zelf gedaan worden?
Je stelt dat je de verantwoordelijkheid verlegd. De kans is groot dat het bij partijen als mailchimp het om emailadressen gaat die aan te merken zijn als persoonsgegevens. Vanuit de GDPR / AVG ben je als organisatie hiervoor zelf verantwoordelijk en aansprakelijk. Dat mailchimp (de verwerker) de zaken niet op orde heeft is in eerste aanleg jou probleem. Je moet een verwerker kiezen en daarmee afspraken (verwerkersovereenkomst) maken waarbij gegevens voldoende beveiligd zijn. De meeste verwerkers willen helaas hun aansprakelijkheid beperken en willen al helemaal geen doortossing van een mogelijke boete van de AP die jij kunt krijgen terwijl je verwerker er een potje van maakt.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
