Troy Hunt, en velkendt skikkelse inden for computersikkerhed, forfatter til kurser om informationssikkerhed, skaberen af tjenesten til kontrol af kompromitterede adgangskoder "Have I Been Pwned?" og regional direktør for Microsoft, afslørede oplysninger om læk af brugerbasen af sin egen mailingliste. Historien viser, hvordan selv anerkendte computersikkerhedseksperter kan blive ofre for typisk phishing under visse omstændigheder.
Troy modtog en e-mail fra Mailchimp, der advarede ham om, at hans mailingliste var blevet suspenderet, og at visse kontroller skulle udføres. Troy klikkede på linket i e-mailen, indtastede sine Mailchimp-kontooplysninger på den side, der åbnede, bekræftede anmodningen om to-faktor-godkendelse, og siden frøs... og angriberne fik adgang til hans mailinglistebrugerbase og downloadede e-mail- og IP-adresseoplysninger for 16627 abonnenter. Det er bemærkelsesværdigt, at downloadet inkluderede 7535 adresser på brugere, der tidligere havde afmeldt sig fra mailinglisten, men Mailchimp-tjenesten reddede dem trods afmelding og inkluderede dem i de eksporterede data.
Troy tier ikke stille om sin fejl og analyserede hændelsen i detaljer på sin blog, og tilføjede også information om lækagen til sin tjeneste haveibeenpwned.com. Troy mener, at han ikke havde mistanke om fejlspil på grund af en kombination af faktorer. På det tidspunkt, hvor han modtog brevet, var Troy på rejse, ikke tilpasset tidsændringen og var meget træt. Brevet blev læst i det øjeblik, hvor årvågenheden var på sit laveste.
Den anden faktor var, at brevet oprindeligt blev set på iPhone med Outlook-e-mailklienten, som kun viste afsenderens navn og ikke e-mailadressen. Da han så genåbnede e-mailen på sin computer den næste morgen, dobbelttjekkede Troy ikke parametrene og bemærkede ikke, at den var sendt fra den mistænkelige adresse "hr@group-f.be".
Teksten blev stilet til at ligne en standard Mailchimp-besked og advarede om begrænsningen af at sende nyhedsbrevet på grund af modtagelse af en spam-klage. Informationen blev præsenteret lige nok til at være forstyrrende, men ikke for forstyrrende. Brevet foreslog at tjekke nyligt afsendte mails og tage skridt til at fjerne blokeringen af dem. Linket åbnede siden mailchimp-sso.com i stedet for mailchimp.com. 1Password-adgangskodeadministratoren udfyldte ikke automatisk login-formularen, men det blev også ignoreret. Efter at godkendelsesformularen frøs, vågnede Troy op og loggede på det rigtige Mailchimp-websted igen, men det var for sent - angriberne brugte de registrerede legitimationsoplysninger til at få et API-adgangstoken og eksporterede oplysningerne.
Kilde: opennet.ru
