Troy Hunt, beveiligingsonderzoeker en oprichter van datalekzoekmachine Have I Been Pwned (HIBP), heeft gegevens van abonnees van zijn mailinglist gelekt nadat hij slachtoffer werd van een phishingmail. Via HIBP kunnen mensen kijken of hun e-mailadres in een bekend datalek voorkomt. De zoekmachine telt inmiddels 877 gecompromitteerde websites en bijna 15 miljard 'pwned accounts'.
Hunt laat vandaag in een blogpost weten dat hij zelf slachtoffer van een phishingmail is geworden die van e-mailmarketingplatform MailChimp afkomstig leek. Volgens het bericht was het versturen van e-mailberichten beperkt en moest hij zijn account controleren. Hunt opende de link die naar een phishingsite wees en logde in met zijn gebruikersnaam en wachtwoord, gevolgd door een 2FA-code.
Met deze gegevens konden de aanvallers inloggen op zijn MailChimp-account en vervolgens de mailinglist van zijn persoonlijke blog TroyHunt.com exporteren. Die bevat volgens Hunt zestienduizend records. De beveiligingsonderzoeker zegt dat hij alle getroffen abonnees zo snel mogelijk gaat waarschuwen. Daarnaast merkt hij op dat MailChimp geen phishingbestendige tweefactorauthenticatie (2FA) biedt. Daardoor kon zijn ingevoerde 2FA-code meteen naar de echte website worden doorgestuurd, aldus de onderzoeker, die op een later moment met meer informatie zegt te komen.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.