Troy Hunt, známá osobnost v oblasti počítačové bezpečnosti, autor kurzů informační bezpečnosti, tvůrce služby pro kontrolu prolomených hesel "Have I Been Pwned?" a regionální ředitel Microsoftu, odhalil informace o úniku uživatelské základny jeho vlastního mailing listu. Historie ukazuje, jak se i uznávaní experti na počítačovou bezpečnost mohou za určitých okolností stát obětí typického phishingu.
Troy obdržel e-mail od Mailchimpu s varováním, že jeho seznam adresátů byl pozastaven a že je třeba provést určité kontroly. Troy klikl na odkaz v e-mailu, zadal podrobnosti o svém účtu Mailchimp na stránce, která se otevřela, potvrdil žádost o dvoufaktorovou autentizaci a stránka zamrzla…. a útočníci získali přístup k uživatelské základně jeho mailing listu a stáhli e-mailové a IP adresy pro 16627 7535 odběratelů. Pozoruhodné je, že stažení zahrnovalo XNUMX XNUMX adres uživatelů, kteří se dříve z mailing listu odhlásili, ale služba Mailchimp je i přes odhlášení uložila a zahrnula do exportovaných dat.
Troy o svém pochybení nezamlčel a incident podrobně rozebral na svém blogu a informaci o úniku přidal i na svou službu haveibeenpwned.com. Troy věří, že neměl podezření na nekalou hru kvůli kombinaci faktorů. V době obdržení dopisu Troy cestoval, nepřizpůsobil se změně času a byl velmi unavený. Dopis byl přečten právě ve chvíli, kdy byla snížena ostražitost.
Вторым фактором стало то, что письмо вначале было просмотрено на iPhone с почтовым клиентом Outlook, который показал только имя отправителя и не отобразил email. Затем, когда письмо было повторно открыто утром на компьютере, Трой не стал перепроверять параметры и не обратил внимание на то, что письмо отправлено с подозрительного адреса «hr@group-f.be».
Text byl stylizován tak, aby vypadal jako standardní zpráva Mailchimp a varoval před omezením zasílání newsletteru z důvodu přijímání stížnosti na spam. Informace byly prezentovány tak akorát, aby byly znepokojivé, ale ne příliš znepokojivé. V dopise bylo doporučeno zkontrolovat nedávno odeslané zásilky a podniknout kroky k jejich odblokování. Odkaz otevřel web mailchimp-sso.com místo mailchimp.com. Správce hesel 1Password automaticky nevyplnil přihlašovací formulář, ale to bylo také ignorováno. Poté, co autentizační formulář zamrzl, se Troy probudil a znovu se přihlásil na skutečnou stránku Mailchimp, ale bylo příliš pozdě - útočníci použili zachycené přihlašovací údaje k získání přístupového tokenu API a exportovali informace.
Zdroj: opennet.ru
