Troy Hunt, ffigwr adnabyddus ym maes diogelwch cyfrifiadurol, awdur cyrsiau ar ddiogelwch gwybodaeth, crëwr y gwasanaeth ar gyfer gwirio cyfrineiriau dan fygythiad "Ydw i wedi Cael fy Pwnio?" a chyfarwyddwr rhanbarthol Microsoft, wedi datgelu gwybodaeth am y gollyngiad o sylfaen defnyddwyr ei restr bostio ei hun. Mae hanes yn arwydd o sut y gall hyd yn oed arbenigwyr diogelwch cyfrifiadurol cydnabyddedig ddod yn ddioddefwyr gwe-rwydo nodweddiadol o dan rai amgylchiadau.
Derbyniodd Troy e-bost gan Mailchimp yn ei rybuddio bod ei restr bostio wedi’i hatal a bod angen cynnal rhai gwiriadau. Cliciwch Troy ar y ddolen yn yr e-bost, mewnbynnu manylion ei gyfrif Mailchimp ar y dudalen a agorodd, cadarnhaodd y cais dilysu dau ffactor, a rhewodd y dudalen…. a chafodd yr ymosodwyr fynediad i'w sylfaen ddefnyddwyr rhestr bostio a llwytho i lawr gwybodaeth cyfeiriad e-bost a IP ar gyfer 16627 o danysgrifwyr. Mae'n werth nodi bod y lawrlwythiad yn cynnwys 7535 o gyfeiriadau defnyddwyr a oedd wedi dad-danysgrifio o'r rhestr bostio o'r blaen, ond fe wnaeth y gwasanaeth Mailchimp eu harbed er gwaethaf y dad-danysgrifio a'u cynnwys yn y data a allforiwyd.
Ni chadwodd Troy yn dawel am ei gamgymeriad a dadansoddodd y digwyddiad yn fanwl ar ei flog, ac ychwanegodd hefyd wybodaeth am y gollyngiad at ei wasanaeth haveibeenpwned.com. Mae Troy yn credu nad oedd yn amau chwarae budr oherwydd cyfuniad o ffactorau. Ar adeg derbyn y llythyr, roedd Troy yn teithio, heb ei addasu i'r newid amser, ac roedd yn flinedig iawn. Darllenwyd y llythyr ar yr union foment pan oedd gwyliadwriaeth ar ei isaf.
Вторым фактором стало то, что письмо вначале было просмотрено на iPhone с почтовым клиентом Outlook, который показал только имя отправителя и не отобразил email. Затем, когда письмо было повторно открыто утром на компьютере, Трой не стал перепроверять параметры и не обратил внимание на то, что письмо отправлено с подозрительного адреса «hr@group-f.be».
Roedd y testun wedi'i steilio i edrych fel neges Mailchimp safonol a rhybuddiodd am y cyfyngiad ar anfon y cylchlythyr oherwydd derbyn cwyn sbam. Cyflwynwyd y wybodaeth yn ddigon i fod yn annifyr, ond nid yn rhy annifyr. Roedd y llythyr yn awgrymu gwirio llythyrau a anfonwyd yn ddiweddar a chymryd camau i'w dadflocio. Agorodd y ddolen y wefan mailchimp-sso.com yn lle mailchimp.com. Ni wnaeth y rheolwr cyfrinair 1Password lenwi'r ffurflen mewngofnodi yn awtomatig, ond anwybyddwyd hynny hefyd. Ar ôl i'r ffurflen ddilysu rewi, deffrodd Troy ac ail-fewngofnodi i'r safle Mailchimp go iawn, ond roedd yn rhy hwyr - defnyddiodd yr ymosodwyr y tystlythyrau a ddaliwyd i gael tocyn mynediad API ac allforio'r wybodaeth.
Ffynhonnell: opennet.ru
