Troy Hunt, una figura coneguda en l'àmbit de la seguretat informàtica, autora de cursos sobre seguretat de la informació, creadora del servei de comprovació de contrasenyes compromeses "Have I Been Pwned?" i director regional de Microsoft, va revelar informació sobre la filtració de la base d'usuaris de la seva pròpia llista de correu. La història és indicativa de com fins i tot experts reconeguts en seguretat informàtica poden convertir-se en víctimes de la pesca típica en determinades circumstàncies.
Troy va rebre un correu electrònic de Mailchimp advertint-li que la seva llista de correu s'havia suspès i que s'havien de fer determinades comprovacions. Troy va fer clic a l'enllaç del correu electrònic, va introduir els detalls del seu compte de Mailchimp a la pàgina que es va obrir, va confirmar la sol·licitud d'autenticació de dos factors i la pàgina es va congelar... i els atacants van obtenir accés a la seva base d'usuaris de la seva llista de correu i van descarregar informació de correu electrònic i adreces IP per a 16627 subscriptors. Cal destacar que la descàrrega va incloure 7535 adreces d'usuaris que prèviament s'havien donat de baixa de la llista de correu, però el servei Mailchimp les va guardar malgrat la baixa i les va incloure a les dades exportades.
Troy no va callar sobre el seu error i va analitzar l'incident en detall al seu bloc, i també va afegir informació sobre la filtració al seu servei haveibeenpwned.com. Troy creu que no sospitava de joc brut a causa d'una combinació de factors. En el moment de rebre la carta, Troia viatjava, no s'adaptava al canvi d'hora i estava molt cansada. La carta es va llegir en el mateix moment en què la vigilància es trobava al seu nivell més baix.
Вторым фактором стало то, что письмо вначале было просмотрено на iPhone с почтовым клиентом Outlook, который показал только имя отправителя и не отобразил email. Затем, когда письмо было повторно открыто утром на компьютере, Трой не стал перепроверять параметры и не обратил внимание на то, что письмо отправлено с подозрительного адреса «hr@group-f.be».
El text es va dissenyar per semblar un missatge estàndard de Mailchimp i advertia sobre la restricció d'enviar el butlletí a causa de la recepció d'una queixa de correu brossa. La informació es va presentar just per ser inquietant, però no massa inquietant. La carta suggeria comprovar els missatges enviats recentment i prendre mesures per desbloquejar-los. L'enllaç va obrir el lloc mailchimp-sso.com en lloc de mailchimp.com. El gestor de contrasenyes 1Password no va omplir automàticament el formulari d'inici de sessió, però també es va ignorar. Després que el formulari d'autenticació es va congelar, Troy es va despertar i va tornar a iniciar sessió al lloc real de Mailchimp, però era massa tard: els atacants van utilitzar les credencials capturades per obtenir un testimoni d'accés a l'API i van exportar la informació.
Font: opennet.ru
