Errando não se aprende: Mailchimp é hackeado pela terceira vez em nove meses
Falha na qual invasão foi realizada tem semelhanças com outros ataques ao sistema da empresa; empresa é uma das maiores no segmento de email marketing
Falha na qual invasão foi realizada tem semelhanças com outros ataques ao sistema da empresa; empresa é uma das maiores no segmento de email marketing
O Mailchimp, uma das maiores empresas de email marketing do mundo, sofreu seu segundo ataque hacker em seis meses. O caso foi confirmado pela própria companhia em uma publicação não vinculada ao blog oficial — para vê-lo é preciso ter alguma forma de acesso direto ao post. Segundo o Mailchimp, 113 clientes tiveram suas contas acessadas.
Assim como nos outros casos de invasão ao sistema de empresa, o terceiro dentro de um período de 12 meses, o acesso se deu porque os hackers usaram técnicas de engenharia social com os funcionários do Mailchimp para consegui credenciais. Pelo jeito, não é sempre que o ditado “errando que se aprende” funciona.
Em situações de invasões, o primeiro passo que uma empresa precisa tomar é o de informar e tentar tranquilizar os clientes. Segundo o Mailchimp, em resposta ao Bleeping Computer, senhas e dados de cartões de créditos dos 113 clientes afetados não foram roubados.
O fato de que esses dados não foram acessados não significa que seja “menos mal”. Como reportou o TechCrunch, uma das vítimas dessa invasão é a WooCommerce. O plug-in para desta empresa é usado por e-commerces e a lista de seus clientes, com dados como nome e email, pode ser uma das coisas “roubadas” pelos cibercriminosos.
Com essa e outras listas em mãos, os hackers podem aplicar golpes utilizando — mais uma vez — as técnicas de engenharia social e phishin. Em abril, no primeiro ataque sofrido pela Mailchimp em 2022, os golpistas usaram a lista de emails da Trezor, fabricante de uma “carteira” de Bitcoin, para induzir os clientes a baixarem um programa malicioso.
Nos últimos nove meses, a gestação gestão do Mailchimp passou por três casos de invasões que usaram a engenharia social com funcionários para entrar no sistema da empresa.
Além do caso de abril de 2022, a Mailchimp sofreu uma invasão em agosto do último ano. Os empregados da companhia de email marketing caíram em um ataque de phishing que utilizou a identidade visual da Okta, empresa que fornece métodos de segurança e autenticação para logins.
Desde abril do ano passado, 666 clientes do Mailchimp tiveram informações acessadas por cibercriminosos. Não é um número grande como as 200 milhões de contas do Twitter, mas o impacto pode ser igualmente grande no futuro. Afinal, essas contas afetadas possuem seus próprios clientes. O resultado pode não chegar imediatamente, mas futuros casos de roubos de dados podem ser reflexos dessas invasões ao Mailchimp.