Der E-Mail-Marketingdienst Mailchimp hat am Montag eine Datenpanne aufgedeckt, bei der ein internes Tool kompromittiert wurde, um unbefugten Zugang zu Kundenkonten zu erlangen und Phishing-Angriffe durchzuführen.

Die Entwicklung wurde zuerst von Bleeping Computer gemeldet.

Das Unternehmen, das im September 2021 von der Finanzsoftwarefirma Intuit übernommen wurde, teilte der Publikation mit, dass es am 26. März auf den Vorfall aufmerksam wurde, als es bemerkte, dass eine böswillige Partei auf das Kundensupport-Tool zugriff.

„Der Vorfall wurde von einem externen Akteur verbreitet, der einen erfolgreichen Social-Engineering-Angriff auf Mailchimp-Mitarbeiter durchführte, wodurch die Anmeldedaten der Mitarbeiter kompromittiert wurden“, wird Siobhan Smyth, Chief Information Security Officer von Mailchimp, zitiert.

Obwohl Mailchimp nach eigenen Angaben schnell gehandelt hat, um den Zugang zu dem angegriffenen Mitarbeiterkonto zu sperren, wurden die erbeuteten Zugangsdaten verwendet, um auf 319 MailChimp-Konten zuzugreifen und die zu 102 Konten gehörenden Mailinglisten zu exportieren.

Es wird vermutet, dass der unbekannte Täter auch Zugang zu den API-Schlüsseln einer unbestimmten Anzahl von Kunden erlangt hat, die nach Angaben des Unternehmens deaktiviert wurden, um zu verhindern, dass die Angreifer die API-Schlüssel für E-Mail-basierte Phishing-Kampagnen missbrauchen.

Als Folge des Einbruchs empfiehlt das Unternehmen seinen Kunden, die Zwei-Faktor-Authentifizierung zu aktivieren, um ihre Konten vor Übernahmeangriffen zu schützen.

Das Eingeständnis kommt zu einem Zeitpunkt, an dem das Kryptowährungsunternehmen Trezor am Sonntag mitteilte, dass es einen möglichen Sicherheitsvorfall untersucht, der von einem Opt-in-Newsletter bei Mailchimp herrührt, nachdem der Angreifer die gestohlenen Daten dazu verwendet hat, betrügerische E-Mails zu verschicken, in denen er behauptet, das Unternehmen habe einen Sicherheitsvorfall erlebt.

Die betrügerische E-Mail mit einem vermeintlichen Link zum Herunterladen einer aktualisierten Version der Trezor Suite, die auf einer Phishing-Website gehostet wurde, forderte die ahnungslosen Empfänger auf, ihre Geldbörsen zu verbinden und die Seed-Phrase in die trojanisierte Anwendung einzugeben, so dass der Angreifer das Geld auf eine von ihm kontrollierte Geldbörse überweisen konnte.

„Dieser Angriff ist außergewöhnlich raffiniert und wurde eindeutig bis ins kleinste Detail geplant“, erklärt Trezor. „Bei der Phishing-Anwendung handelt es sich um eine geklonte Version der Trezor Suite mit sehr realistischen Funktionen, die auch eine Webversion der Anwendung enthält.“

„Mailchimp hat bestätigt, dass ihr Dienst von einem Insider kompromittiert wurde, der es auf Kryptounternehmen abgesehen hat“, twitterte Trezor später. „Wir haben es geschafft, die Phishing-Domain [trezor.us] offline zu nehmen“, und warnte seine Nutzer/innen, bis auf Weiteres keine E-Mails des Unternehmens zu öffnen.

Das amerikanische Unternehmen hat sich bisher nicht dazu geäußert, ob der Angriff von einem „Insider“ verübt wurde. Zum jetzigen Zeitpunkt ist auch unklar, wie viele andere Kryptowährungsplattformen und Finanzinstitute von dem Vorfall betroffen sind.

Ein zweites bestätigtes Opfer des Angriffs ist Decentraland, eine browserbasierte Plattform für virtuelle 3D-Welten, die am Montag bekannt gab, dass die E-Mail-Adressen ihrer Newsletter-Abonnenten durch einen Verstoß gegen die Mailchimp-Datenrichtlinie bekannt wurden.