Een aanvaller is er via een phishingaanval in geslaagd om in te breken op interne systemen van e-mailmarketingbedrijf Klaviyo en kon zo mailinglists van crypto-gerelateerde klanten stelen. Dat heeft het bedrijf aangekondigd. Klaviyo biedt klanten oplossingen voor het versturen van marketingberichten via e-mail en sms. Het beschikt zodoende over mailinglists van allerlei partijen.

Een medewerker van Klaviyo trapte in een phishingaanval waardoor inloggegevens in handen van de aanvaller kwamen. Die kon zo inloggen op interne supporttools van de e-mailmarketeer. Via de interne systemen van het bedrijf zocht de aanvaller met name naar crypto-gerelateerde klantaccounts. Voor zover nu bekend zijn mailinglists van 44 klantaccounts bekeken en van 38 accounts ook daadwerkelijk gedownload.

De gedownloade informatie bestaat uit namen, e-mailadressen, telefoonnummers en accountspecifieke profielinformatie. Klaviyo heeft alle getroffen klanten gewaarschuwd. Verder wist de aanvaller ook interne lijsten van Klaviyo zelf te downloaden die het bedrijf gebruikt voor product- en marketingupdates. Het gaat om namen, adresgegevens, e-mailadressen en telefoonnummers. Klaviyo verwacht dat aanvallers de gestolen informatie voor phishingaanvallen zullen gebruiken.