Le géant du marketing par e-mail et des newsletters Mailchimp affirme qu’il a été piraté et que des dizaines de données de clients ont été exposées. C’est la deuxième fois que l’entreprise a été piratée au cours des six derniers mois. Pire, cette brèche semble être quasiment identique à un précédent incident.
La société appartenant à Intuit a déclaré dans un article de blog non attribué que son équipe de sécurité avait détecté un intrus le 11 janvier en accédant à l’un de ses outils internes utilisés par le support client et l’administration des comptes de Mailchimp, bien que la société n’ait pas précisé pendant combien de temps l’intrus était dans son systèmes, s’ils sont connus. Mailchimp a déclaré que le pirate avait ciblé ses employés et sous-traitants avec une attaque d’ingénierie sociale, dans laquelle quelqu’un utilise des techniques de manipulation par téléphone, e-mail ou SMS pour obtenir des informations privées, comme des mots de passe. Le pirate a ensuite utilisé ces mots de passe d’employés compromis pour accéder aux données de 133 comptes Mailchimp, que l’entreprise a notifiés de l’intrusion.
L’un de ces comptes ciblés appartient au géant du commerce électronique WooCommerce. Dans une note aux clients, WooCommerce a déclaré avoir été informé par Mailchimp un jour plus tard que la violation pouvait avoir exposé les noms, les adresses Web de magasin et les adresses e-mail de ses clients, bien qu’il ait déclaré qu’aucun mot de passe client ou autre donnée sensible n’avait été pris.
WooCommerce, qui construit et maintient des outils de commerce électronique open source populaires pour les petites entreprises, s’appuie sur Mailchimp pour envoyer des e-mails à ses clients. WooCommerce aurait plus de cinq millions de clients.
Si tout cela vous semble vaguement familier, c’est parce que ça l’est. En août dernier, Mailchimp a déclaré avoir été victime d’une attaque d’ingénierie sociale qui a compromis les informations d’identification de son personnel de support client, permettant à l’intrus d’accéder aux outils internes de Mailchimp. Lors de cette violation, les données de quelque 214 comptes Mailchimp ont été compromises, principalement des comptes liés à la crypto-monnaie et aux finances. Le géant du cloud DigitalOcean a confirmé que son compte avait été compromis lors de l’incident et a sévèrement critiqué la gestion de la violation par Mailchimp.
Mailchimp a déclaré à l’époque qu’il avait mis en place « un ensemble supplémentaire de mesures de sécurité renforcées », mais a refusé de dire à TechCrunch ce que ces mesures impliquaient. Avec une répétition presque identique de sa violation passée, il n’est pas clair si Mailchimp a correctement mis en œuvre ces mesures améliorées, ou si ces mesures ont échoué.
On ne sait pas immédiatement qui, le cas échéant, est responsable de la cybersécurité chez Mailchimp après le départ de son responsable de la sécurité de l’information Siobhan Smyth peu après la violation d’août.
Lorsqu’il a été contacté par e-mail, le porte-parole d’Intuit, Derrick Plummer, a refusé de répondre aux questions de TechCrunch ou de dire qui était actuellement responsable de la sécurité chez Mailchimp.