电子报是网络营销的重要渠道之一,许多海内外公司采用的电子报服务Mailchimp又遭黑客攻击,超过百名客户资料外泄,这是该公司过去6个月内第二度遭黑,这次手法与上次事件几乎一模一样。
Mailchimp指出,黑客针对员工和合作厂商进行社交工程攻击(Social Engineering Attack),利用人性弱点,哄骗对方提供如密码等个人资讯。黑客再利用员工密码取得133个Mailchimp账号资料,公司已经通知这些账号遭入侵的客户。
其中一个被黑客入侵的Mailchimp账号隶属于WooCommerce,它是安装在WordPress上免费开源的电商购物车系统,用户数据悉超过500万,平时利用Mailchimp发送电子邮件给用户。WooCommerce向用户说明,经过这次事件用户的姓名、网络商店网址、电子邮件地址等可能被外泄,但密码或其他敏感资讯未被盗用。
Mailchimp的安全团队在1月11日侦测到一名入侵者访问客服支持和账号管理所使用的其中一项内部工具,因此发现这次事件,但未深入说明入侵者停留多长的时间以及其他细节。
回顾2022年8月,Mailchimp也曾证实自家客服人员遭受社交工程攻击,使得入侵者未经授权却能访问Mailchimp内部工具。发现约有214个Mailchimp账号资料遭到外泄,大部分是加密货币和金融相关服务。云计算公司DigitalOcean证实账号遭盗盗用,并严厉批评Mailchimp对于资料外泄的处理方式。
Mailchimp当时表示,该公司实施一套额外的安全加强措施,但拒绝透露细节。这次对比上次事件可说是一模一样,目前不清楚Mailchimp是否确实执行加强措施,或者计划已经失效。此外,Mailchimp首席安全官Siobhan Smyth在上次事件后即离职,公司也未对外说明由谁负责掌管安全业务。
唯一可以确定的是,Mailchimp安全管控和员工教育出现很大的问题,再不加强安全措施,只会让更多客户资料外泄。
(首图来源:Mailchimp)