Intuit, la société mère de Mailchimp, fait face à un procès après qu’un récent incident de cybersécurité a conduit au vol de crypto-monnaies à un utilisateur de Trezor.
Pour les non-initiés, Mailchimp est l’une des plus grandes plateformes de marketing par e-mail, et Trezor est l’un des portefeuilles matériels les plus populaires au monde pour le stockage des crypto-monnaies.
Le registre a récemment repéré une action en justice intentée devant un tribunal fédéral du nord de la Californie, dans laquelle un certain Alan Levinson de l’Illinois prétend avoir été victime d’une attaque de phishing sophistiquée qui a entraîné le vol de jetons stockés sur son portefeuille Trezor.
Bien qu’il affirme personnellement avoir perdu 87 000 $, il affirme également qu’il n’est probablement pas le seul à être trompé et que les dommages réels se chiffrent probablement en millions.
Les utilisateurs de Trezor attaqués
Début avril, nous avons signalé une violation de données chez Mailchimp, qui a vu des attaquants s’en tirer avec plus d’une centaine de listes de diffusion par e-mail. Les listes de diffusion ont ensuite été utilisées pour cibler les personnes victimes d’attaques de phishing, dans le but de voler leur argent et leurs avoirs en crypto-monnaie.
Ils ont également accédé aux clés API (aujourd’hui disparues) d’un nombre inconnu de clients. Avec les clés, les attaquants pourraient créer des campagnes d’e-mail personnalisées et les envoyer à des listes de diffusion sans accéder au portail client Mailchimp.
L’une des entreprises dont les clients ont été ciblés par une attaque de phishing était Trezor. Peu de temps après la violation, les clients de Trezor ont commencé à recevoir un e-mail indiquant que l’entreprise avait subi une violation de données et invitant les utilisateurs à télécharger un programme pour les aider à réinitialiser les codes PIN sur leurs terminaux.
Le programme a déguisé une souche de malware qui a permis aux attaquants de voler le contenu du portefeuille.
Le procès prétend que les mauvaises normes de sécurité chez Intuit et Rocket Science Group (une filiale qui gère Mailchimp) ont rendu une telle attaque possible.
« Les pirates ont pu accéder à la liste de diffusion de Trezor (et probablement à d’autres informations non sensibles) via les comptes d’employés MailChimp et/ou Intuit », indique le procès.
« En effet, les accusés ont confirmé que les pirates ont utilisé un outil interne des employés pour voler les données de plus de 100 de leurs clients – les données étant utilisées pour monter des attaques de phishing contre les utilisateurs de services de crypto-monnaie. »
Le procès allègue qu’Intuit « volontairement, par imprudence ou par négligence » n’a pas protégé les données de ses clients et a été trop lent pour informer ses clients de la violation.
Levinson demande maintenant que des dommages-intérêts réels et punitifs soient indemnisés, ainsi que des frais juridiques. Il veut également que trois ans de surveillance du crédit soient payés pour lui.
Via le registre