E-mailmarketingplatform MailChimp aangeklaagd wegens datalek
E-mailmarketingplatform MailChimp is in de Verenigde Staten aangeklaagd wegens een datalek waardoor een phishingaanval op gebruikers van cryptowallet Trezor kon worden uitgevoerd. Volgens de klagers zou bij deze aanval voor miljoenen aan cryptovaluta zijn gestolen (pdf).
Via MailChimp kunnen bedrijven en organisaties nieuwsbrieven en marketingmails versturen. Het lukte de aanvaller om door middel van social engineering de inloggegevens van verschillende MailChimp-medewerkers in handen te krijgen. Met deze inloggegevens kon de aanvaller inloggen op een interne tool die MailChimp gebruikt voor klantensupport en accountbeheer.
In totaal bekeek de aanvaller 319 MailChimp-accounts en besloot van 102 van deze accounts "audience data" te downloaden. Het gaat hier om gegevens die klanten van MailChimp over hun gebruikers hebben verzameld, zoals namen en e-mailadressen. Met de toegang die de aanvaller had kon hij uit naam van MailChimp-klanten phishingmails versturen. Eén van de bedrijven die gebruikmaakt van MailChimp voor het versturen van nieuwsbrieven is Trezor.
Trezor biedt een wallet waarmee gebruikers hun cryptovaluta kunnen beheren. De via MailChimp verstuurde phishingmails claimen dat Trezor met een beveiligingsincident te maken had gekregen en de ontvanger één van de slachtoffers was. Vervolgens werd ontvangers opgeroepen om de nieuwste versie van de Trezor Suite te downloaden en een nieuwe pincode voor de cryptowallet in te stellen. De link in de phishingmail wees naar een malafide website waarop een malafide app wordt aangeboden.
De klagers stellen dat MailChimp en moederbedrijf Intuit de eigen systemen niet goed hebben beveiligd, niet hebben voorkomen dat het datalek kon plaatsvinden en dit niet tijdig hebben gemeld. Daarnaast zou MailChimp nalatig zijn geweest bij de opslag van mailinglistgegevens. Met de buitgemaakte informatie was het mogelijk de phishingaanval uit te voeren.
De initiële klager stelt dat hij in de phishingmail trapte en er 82.000 dollar aan cryptovaluta is buitgemaakt. Met de massaclaim wil hij onder andere een schadevergoeding van MailChimp, zo melden Top Class Actions en Law360.
Stuur de marketingmails dan gewoon ZELF. Of helemaal NIET.
Stuur de marketingmails dan gewoon ZELF. Of helemaal NIET.
Dat is niet hoe de wereld werkt.
Als je het zelf moet doen moet je die expertise in huis hebben, als je het uitbesteedt verleg je de verantwoordelijkheid.
Denk je echt dat ale die marketingmails die verstuurd worden door bedrijven als KPN, Mediamarkt, ING en Bol.com door hen zelf gedaan worden?
Stuur de marketingmails dan gewoon ZELF. Of helemaal NIET.
Dat is niet hoe de wereld werkt.
Als je het zelf moet doen moet je die expertise in huis hebben, als je het uitbesteedt verleg je de verantwoordelijkheid.
Denk je echt dat ale die marketingmails die verstuurd worden door bedrijven als KPN, Mediamarkt, ING en Bol.com door hen zelf gedaan worden?
Je stelt dat je de verantwoordelijkheid verlegd. De kans is groot dat het bij partijen als mailchimp het om emailadressen gaat die aan te merken zijn als persoonsgegevens. Vanuit de GDPR / AVG ben je als organisatie hiervoor zelf verantwoordelijk en aansprakelijk. Dat mailchimp (de verwerker) de zaken niet op orde heeft is in eerste aanleg jou probleem. Je moet een verwerker kiezen en daarmee afspraken (verwerkersovereenkomst) maken waarbij gegevens voldoende beveiligd zijn. De meeste verwerkers willen helaas hun aansprakelijkheid beperken en willen al helemaal geen doortossing van een mogelijke boete van de AP die jij kunt krijgen terwijl je verwerker er een potje van maakt.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
