Troy Hunt, ffigwr adnabyddus ym maes diogelwch cyfrifiadurol, awdur cyrsiau ar ddiogelwch gwybodaeth, crΓ«wr y gwasanaeth ar gyfer gwirio cyfrineiriau dan fygythiad "Ydw i wedi Cael fy Pwnio?" a chyfarwyddwr rhanbarthol Microsoft, wedi datgelu gwybodaeth am y gollyngiad o sylfaen defnyddwyr ei restr bostio ei hun. Mae hanes yn arwydd o sut y gall hyd yn oed arbenigwyr diogelwch cyfrifiadurol cydnabyddedig ddod yn ddioddefwyr gwe-rwydo nodweddiadol o dan rai amgylchiadau.
Derbyniodd Troy e-bost gan Mailchimp yn ei rybuddio bod ei restr bostio wediβi hatal a bod angen cynnal rhai gwiriadau. Cliciwch Troy ar y ddolen yn yr e-bost, mewnbynnu manylion ei gyfrif Mailchimp ar y dudalen a agorodd, cadarnhaodd y cais dilysu dau ffactor, a rhewodd y dudalenβ¦. a chafodd yr ymosodwyr fynediad i'w sylfaen ddefnyddwyr rhestr bostio a llwytho i lawr gwybodaeth cyfeiriad e-bost a IP ar gyfer 16627 o danysgrifwyr. Mae'n werth nodi bod y lawrlwythiad yn cynnwys 7535 o gyfeiriadau defnyddwyr a oedd wedi dad-danysgrifio o'r rhestr bostio o'r blaen, ond fe wnaeth y gwasanaeth Mailchimp eu harbed er gwaethaf y dad-danysgrifio a'u cynnwys yn y data a allforiwyd.
Ni chadwodd Troy yn dawel am ei gamgymeriad a dadansoddodd y digwyddiad yn fanwl ar ei flog, ac ychwanegodd hefyd wybodaeth am y gollyngiad at ei wasanaeth haveibeenpwned.com. Mae Troy yn credu nad oedd yn amau ββchwarae budr oherwydd cyfuniad o ffactorau. Ar adeg derbyn y llythyr, roedd Troy yn teithio, heb ei addasu i'r newid amser, ac roedd yn flinedig iawn. Darllenwyd y llythyr ar yr union foment pan oedd gwyliadwriaeth ar ei isaf.
Yr ail ffactor oedd bod y llythyr wedi cael ei weld i ddechrau ar iPhone gyda'r cleient e-bost Outlook, a oedd ond yn dangos enw'r anfonwr ac nid oedd yn dangos y cyfeiriad e-bost. Yna, pan ailagorodd yr e-bost ar ei gyfrifiadur y bore wedyn, ni wnaeth Troy wirio'r paramedrau ddwywaith ac ni sylwi ei fod wedi'i anfon o'r cyfeiriad amheus "hr@group-f.be."
Roedd y testun wedi'i steilio i edrych fel neges Mailchimp safonol a rhybuddiodd am y cyfyngiad ar anfon y cylchlythyr oherwydd derbyn cwyn sbam. Cyflwynwyd y wybodaeth yn ddigon i fod yn annifyr, ond nid yn rhy annifyr. Roedd y llythyr yn awgrymu gwirio llythyrau a anfonwyd yn ddiweddar a chymryd camau i'w dadflocio. Agorodd y ddolen y wefan mailchimp-sso.com yn lle mailchimp.com. Ni wnaeth y rheolwr cyfrinair 1Password lenwi'r ffurflen mewngofnodi yn awtomatig, ond anwybyddwyd hynny hefyd. Ar Γ΄l i'r ffurflen ddilysu rewi, deffrodd Troy ac ail-fewngofnodi i'r safle Mailchimp go iawn, ond roedd yn rhy hwyr - defnyddiodd yr ymosodwyr y tystlythyrau a ddaliwyd i gael tocyn mynediad API ac allforio'r wybodaeth.
Ffynhonnell: opennet.ru
