Une attaque en cours ciblant les utilisateurs liés à la cryptographie de Mailchimp a en fait eu un impact sur les utilisateurs de la société d’infrastructure cloud DigitalOcean, a révélé cette dernière entreprise lundi.
« Le 8 août, DigitalOcean découvert que notre compte Mailchimp avait été compromis dans le cadre de ce que nous soupçonnons d’être un incident de sécurité Mailchimp plus large qui a eu un impact sur leurs clients, ciblé sur la crypto et la blockchain. À partir de cet incident Mailchimp, nous pensons que des adresses e-mail spécifiques de clients DigitalOcean ont pu être exposées « , a déclaré Tyler Healy, vice-président de la sécurité chez DigitalOcean.
Que s’est-il passé ?
Mailchimp est une plate-forme d’automatisation du marketing par e-mail, que DigitalOcean utilise – ou a utilisée, jusqu’à cet événement – – pour fournir « des vérifications d’e-mail, des réinitialisations de mot de passe, des notifications par e-mail pour la santé des articles et des dizaines d’autres e-mails transactionnels » à ses utilisateurs.
« A 15h30 HE le 8 août 2022, e-mails transactionnels depuis notre plateforme, livrés par Mail chimpanzé, a cessé d’atteindre les boîtes de réception de nos consommateurs », a décrit Healy.
« Au cours de cette même période, le 8 août, notre équipe des opérations de sécurité a été avertie qu’un client avait déclaré que son mot de passe avait été réinitialisé, sans son initiation. Reconnaissant un lien probable entre notre perte soudaine d’e-mails transactionnels et éventuellement des réinitialisations de mots de passe malveillants, qui sont transmises par e-mail, un incident de sécurité et une enquête ont été lancés en parallèle avec les groupes traitant de notre interruption d’e-mail. »
L’examen a révélé que le compte Mailchimp de DigitalOcean avait été compromis, et peu de temps après suspendu par Mailchimp.
Que le compte Mailchimp compromis a fourni à l’ennemi les adresses e-mail des clients DigitalOcean, leur permettant pour lancer des réinitialisations de mot de passe malveillantes par rapport à un « ensemble restreint » de comptes.
Certaines des tentatives de réinitialisation de mot de passe ont échoué, mais d’autres l’ont été. Au moins une tentative de prise de contrôle de compte a été déjouée par le fait que l’agresseur était ‘est pas en mesure de mettre la main sur le deuxième facteur d’authentification requis pour accéder au compte.
Healy a déclaré que les comptes des consommateurs qui ont effectivement été ciblés « ont été protégés, et [ses propriétaires] ont été mis en contact directement. »
Tentative de compromis par l’intermédiaire d’un tiers
L’événement a incité DigitalOcean à mettre fin à son partenariat avec Mailchimp et à choisir une autre société de messagerie.
L’entreprise a également découvert que les chaînes de confiance, lorsqu’elles sont brisées, peuvent avoir des répercussions importantes en aval. « Nos conceptions des risques et notre visibilité sur la sécurité devraient s’améliorer dans nos environnements SaaS et PaaS tiers », a rappelé Healy.
L’incident les incitera à pousser les clients à activer l’authentification à 2 facteurs sur leur compte, alors qu’ils pensent simultanément à rendre « l’authentification à deux facteurs activée par défaut pour tous les comptes clients DigitalOcean ».
Considérant que l’ennemi a obtenu les adresses e-mail des consommateurs, l’entreprise met également en garde les utilisateurs contre d’éventuels tentatives d’hameçonnage dans les semaines à venir.
Dans l’actualité liée à la compromission de tiers, la violation actuelle de Twilio a en fait entraîné la compromission des numéros de téléphone ou des codes de vérification par SMS de 1 900 utilisateurs enregistrés de Signal.
Toute l’actualité en temps réel, est sur L’Entrepreneur
