Трой Хънт, известна фигура в областта на компютърната сигурност, автор на курсове по информационна сигурност, създател на услугата за проверка на компрометирани пароли "Have I Been Pwned?" и регионален директор на Microsoft, разкри информация за изтичане на потребителска база от неговия собствен пощенски списък. Историята е показателна за това как дори признати експерти по компютърна сигурност могат да станат жертва на типичен фишинг при определени обстоятелства.
Трой получи имейл от Mailchimp, който го предупреждава, че неговият пощенски списък е спрян и че трябва да се извършат определени проверки. Трой щракна върху връзката в имейла, въведе данните за акаунта си в Mailchimp на страницата, която се отвори, потвърди заявката за двуфакторно удостоверяване и страницата замръзна.... и нападателите са получили достъп до потребителската база на неговия пощенски списък и са изтеглили информация за имейл и IP адрес за 16627 7535 абонати. Трябва да се отбележи, че изтеглянето включва XNUMX адреса на потребители, които преди това са се отписали от пощенския списък, но услугата Mailchimp ги запазва въпреки отписването и ги включва в експортираните данни.
Трой не премълча грешката си и анализира инцидента подробно в блога си, а също така добави информация за изтичането на информация в своята услуга haveibeenpwned.com. Трой смята, че не е подозирал нечестна игра поради комбинация от фактори. По време на получаването на писмото Трой пътуваше, не се приспособи към смяната на времето и беше много уморен. Писмото беше прочетено точно в момента, когато бдителността беше най-ниска.
Вторият фактор беше, че писмото първоначално беше видяно на iPhone с имейл клиента на Outlook, който показваше само името на подателя и не показваше имейл адреса. След това, когато отвори отново имейла на компютъра си на следващата сутрин, Трой не провери отново параметрите и не забеляза, че е изпратен от подозрителния адрес „hr@group-f.be“.
Текстът беше оформен така, че да изглежда като стандартно съобщение на Mailchimp и предупреждаваше за ограничението за изпращане на бюлетина поради получаване на оплакване за спам. Информацията беше представена точно толкова, че да бъде смущаваща, но не прекалено смущаваща. Писмото предлага да се проверят наскоро изпратените съобщения и да се предприемат стъпки за тяхното деблокиране. Връзката отвори сайта mailchimp-sso.com вместо mailchimp.com. Мениджърът на пароли 1Password не попълни автоматично формуляра за вход, но това също беше игнорирано. След като формулярът за удостоверяване замръзна, Трой се събуди и влезе отново в истинския сайт на Mailchimp, но беше твърде късно - нападателите използваха уловените идентификационни данни, за да получат токен за достъп до API и експортираха информацията.
Източник: opennet.ru
