Troy Hunt บุคคลที่มีชื่อเสียงในด้านความปลอดภัยทางคอมพิวเตอร์ ผู้เขียนหลักสูตรเกี่ยวกับความปลอดภัยทางข้อมูล ผู้สร้างบริการตรวจสอบรหัสผ่านที่ถูกบุกรุก "Have I Been Pwned?" และผู้อำนวยการประจำภูมิภาคของ Microsoft เปิดเผยข้อมูลเกี่ยวกับการรั่วไหลของฐานผู้ใช้ในรายชื่อส่งเมลของเขาเอง ประวัติศาสตร์บ่งชี้ว่าแม้แต่ผู้เชี่ยวชาญด้านความปลอดภัยคอมพิวเตอร์ที่ได้รับการยอมรับก็อาจตกเป็นเหยื่อฟิชชิ่งทั่วๆ ไปภายใต้สถานการณ์บางอย่าง
ทรอยได้รับอีเมลจาก MailChimp แจ้งเตือนว่ารายชื่อส่งเมลของเขาถูกระงับ และจำเป็นต้องทำการตรวจสอบบางอย่าง Troy คลิกลิงก์ในอีเมล ป้อนรายละเอียดบัญชี MailChimp ของเขาบนเพจที่เปิดขึ้นมา ยืนยันคำขอการตรวจสอบสิทธิ์แบบสองขั้นตอน และเพจก็ค้างไป…. และผู้โจมตีสามารถเข้าถึงฐานข้อมูลผู้ใช้ในรายชื่อส่งจดหมายของเขาและดาวน์โหลดข้อมูลอีเมลและที่อยู่ IP ของสมาชิกจำนวน 16627 ราย ที่น่าสังเกตคือการดาวน์โหลดดังกล่าวมีที่อยู่ 7535 ที่อยู่ของผู้ใช้ที่เคยยกเลิกการสมัครจากรายการส่งจดหมาย แต่บริการ Mailchimp ได้บันทึกที่อยู่เหล่านี้ไว้แม้ว่าจะมีการยกเลิกการสมัครไปแล้วและรวมไว้ในข้อมูลที่ส่งออกด้วย
ทรอยไม่ได้เก็บเป็นความลับเกี่ยวกับความผิดพลาดของเขาและได้วิเคราะห์เหตุการณ์ดังกล่าวอย่างละเอียดในบล็อกของเขา และยังได้เพิ่มข้อมูลเกี่ยวกับการรั่วไหลดังกล่าวไปยังบริการของเขาที่ haveibeenpwned.com อีกด้วย ทรอยเชื่อว่าเขาไม่สงสัยว่ามีการเล่นไม่ซื่อเพราะปัจจัยหลายประการรวมกัน ขณะที่ได้รับจดหมายทรอยกำลังเดินทางยังไม่ปรับตัวกับการเปลี่ยนแปลงเวลาและเหนื่อยมาก จดหมายดังกล่าวถูกอ่านในขณะที่ความระมัดระวังอยู่ในระดับต่ำสุด
ปัจจัยที่สองคือ จดหมายฉบับนั้นถูกเปิดดูครั้งแรกเมื่อ... iPhone โดยใช้โปรแกรมอีเมล Outlook ซึ่งแสดงเฉพาะชื่อผู้ส่งและไม่แสดงที่อยู่อีเมล จากนั้นเมื่อเขาเปิดอีเมลนั้นอีกครั้งในคอมพิวเตอร์ในเช้าวันรุ่งขึ้น ทรอยไม่ได้ตรวจสอบพารามิเตอร์ซ้ำและไม่ได้สังเกตว่าอีเมลนั้นถูกส่งมาจากที่อยู่น่าสงสัย "hr@group-f.be"
ข้อความได้รับการออกแบบให้ดูเหมือนข้อความ Mailchimp มาตรฐานและเตือนเกี่ยวกับข้อจำกัดในการส่งจดหมายข่าวเนื่องจากได้รับการร้องเรียนเกี่ยวกับสแปม มีการนำเสนอข้อมูลเพียงพอที่จะสร้างความรบกวน แต่ไม่ได้สร้างความรบกวนมากเกินไป จดหมายดังกล่าวแนะนำให้ตรวจสอบจดหมายที่ส่งเมื่อเร็ว ๆ นี้และดำเนินการปลดบล็อกจดหมายเหล่านั้น ลิงก์นี้เปิดเว็บไซต์ mailchimp-sso.com แทนที่จะเป็น mailchimp.com ตัวจัดการรหัสผ่าน 1Password ไม่ได้กรอกแบบฟอร์มการเข้าสู่ระบบโดยอัตโนมัติ แต่ก็ถูกละเว้นเช่นกัน หลังจากแบบฟอร์มการตรวจสอบสิทธิ์หยุดทำงาน ทรอยก็ตื่นขึ้นมาและเข้าสู่ระบบไซต์ Mailchimp จริงอีกครั้ง แต่ก็สายเกินไปแล้ว เนื่องจากผู้โจมตีใช้ข้อมูลประจำตัวที่ดักจับได้เพื่อรับโทเค็นการเข้าถึง API และส่งออกข้อมูลดังกล่าว
ที่มา: opennet.ru
