E-mailmarketingplatform MailChimp is in de Verenigde Staten aangeklaagd wegens een datalek waardoor een phishingaanval op gebruikers van cryptowallet Trezor kon worden uitgevoerd. Volgens de klagers zou bij deze aanval voor miljoenen aan cryptovaluta zijn gestolen (pdf).
Via MailChimp kunnen bedrijven en organisaties nieuwsbrieven en marketingmails versturen. Het lukte de aanvaller om door middel van social engineering de inloggegevens van verschillende MailChimp-medewerkers in handen te krijgen. Met deze inloggegevens kon de aanvaller inloggen op een interne tool die MailChimp gebruikt voor klantensupport en accountbeheer.
In totaal bekeek de aanvaller 319 MailChimp-accounts en besloot van 102 van deze accounts "audience data" te downloaden. Het gaat hier om gegevens die klanten van MailChimp over hun gebruikers hebben verzameld, zoals namen en e-mailadressen. Met de toegang die de aanvaller had kon hij uit naam van MailChimp-klanten phishingmails versturen. Eén van de bedrijven die gebruikmaakt van MailChimp voor het versturen van nieuwsbrieven is Trezor.
Trezor biedt een wallet waarmee gebruikers hun cryptovaluta kunnen beheren. De via MailChimp verstuurde phishingmails claimen dat Trezor met een beveiligingsincident te maken had gekregen en de ontvanger één van de slachtoffers was. Vervolgens werd ontvangers opgeroepen om de nieuwste versie van de Trezor Suite te downloaden en een nieuwe pincode voor de cryptowallet in te stellen. De link in de phishingmail wees naar een malafide website waarop een malafide app wordt aangeboden.
De klagers stellen dat MailChimp en moederbedrijf Intuit de eigen systemen niet goed hebben beveiligd, niet hebben voorkomen dat het datalek kon plaatsvinden en dit niet tijdig hebben gemeld. Daarnaast zou MailChimp nalatig zijn geweest bij de opslag van mailinglistgegevens. Met de buitgemaakte informatie was het mogelijk de phishingaanval uit te voeren.
De initiële klager stelt dat hij in de phishingmail trapte en er 82.000 dollar aan cryptovaluta is buitgemaakt. Met de massaclaim wil hij onder andere een schadevergoeding van MailChimp, zo melden Top Class Actions en Law360.
Deze posting is gelocked. Reageren is niet meer mogelijk.