.
O serviço de marketing por e-mail Mailchimp confirmou que intrusos obtiveram acesso a mais de 100 contas de clientes após implantar com sucesso um ataque de engenharia social.
Este é o segundo vazamento de dados em cinco meses e, no entanto, a empresa, comprada pela Intuit por US$ 12 bilhões em setembro de 2021continua a dizer aos clientes – com uma cara séria – que leva a “segurança dos dados dos usuários a sério”.
O último roubo digital aconteceu em 11 de janeiro, quando a equipe de segurança residente detectou um “agente não autorizado acessando uma de nossas ferramentas usadas pelas equipes de atendimento ao cliente do Mailchimp para suporte ao cliente e administração de contas”, o estados do blog da empresa.
O criminoso usou credenciais de funcionários para invadir 133 contas de clientes do Mailchimp, embora a empresa diga que não há evidências de que o comprometimento tenha afetado os sistemas da Intuit “ou dados de clientes além dessas contas”.
“Depois que identificamos evidências de um ator não autorizado, suspendemos temporariamente o acesso às contas do Mailchimp onde detectamos atividades suspeitas para proteger os dados de nossos usuários”, diz.
O Mailchimp diz que informou aos contatos principais das contas em 12 de janeiro que suas caixas de correio foram acessadas sem permissão.
Nenhuma informação financeira pessoal foi incluída nos dados capturados na invasão, e a empresa não está comentando mais sobre as contramedidas que estão sendo tomadas para aumentar a segurança.
Uma das 133 contas pertence ao WooCommerce, provedor de um plug-in de comércio eletrônico de código aberto para WordPress, como notado pela primeira vez por TechCrunch. A empresa posteriormente escreveu para seus próprios clientes para confirmar que alguns de seus detalhes – nome, URL da loja, endereço e e-mail – foram expostos.
Mailchimp sofreu outro arrombamento em agosto quando confirmou que um criminoso havia acessado ferramentas usadas pelas equipes de suporte ao cliente e administração, por meio de um ataque de engenharia social, para obter acesso a 214 contas do Mailchimp. Nesse incidente, o cliente Digital Ocean decidiu abandonar os serviços do Mailchimp.
A Digital Ocean migrou os serviços para um provedor alternativo e disse que um número “muito pequeno” de clientes viu bandidos tentando entrar em suas contas.
Claramente, nem todas as lições que o Mailchimp precisava aprender com a primeira violação foram aceitas. ®
.
