早有预谋？世界电子邮件营销巨头MailChimp均遭黑客攻击

近日，电子邮件广告宣传子公司MailChimp谈及其惨遭恶意还击，恶意来进行核心客户服务赞同和的网站管理者工具箱伪造客户服务端信息，并透过的网络捕鱼还击。

当日，许多Trezor显卡此前验证货币政策包包拥有者发部落格称，寄出了关于该子公司惨遭信息外泄的的网络捕鱼通告。这些邮件无可避免Trezor客户服务浏览可以伪造此前验证货币政策的安全性漏洞来重置他们的显卡包包pin。

随后，Trezor暗示，MailChimp不太可能被针对此前验证货币政策产业的打击举动者攻破，他们借此透过了的网络捕鱼还击。

MailChimp不太可能确认，恶意展开这次还击不仅仅是为了回访Trezor的Gmail，其之外员工受到了社会生活工程建设还击，所致汇票不知去向。这些汇票被恶意应用于回访319个MailChimpGmail，并从102个客户服务Gmail中解析“大众传媒信息”。

MailChimp总监信息化性务Siobhan Smyth暗示：“3月底26日，我们的安全性团队发现，恶意举动者回访了一个面向客户服务团队、应用于客户服务赞同和的网站管理者的的核心工具箱。该事件是由举例来说旁观者发起的，他对Mailchimp员工透过了社会生活工程建设还击，所致其汇票被外泄。我们迅速放任行动，终止恶意对被侵略员工的网站的回访，并放任相应安全措施来能避免非常多员工受到影响。”

除了详细信息的网站和解析信息以外，打击旁观者还获得了对客户服务API加密的回访权，现今这些加密已被禁用。操作系统演算接口 (API) 加密是必需MailChimp客户服务直接从他们自己的网站或平台管理者他们的Gmail和执行广告宣传举办活动的回访令牌。打击旁观者可以凭借这些外泄的API加密创建定制电子邮件举办活动，例如发起的网络捕鱼举办活动，并将它们发送到客户服务端邮件列表，而无需回访MailChimp的客户服务门户。

Siobhan Smyth暗示，受接种的的网站拥有者都已寄出具体通告，此外，打击旁观者也回访了此前验证货币政策和金融领域的客户服务。

MailChimp称寄出了有关该回访被应用于的网络捕鱼举办活动的报告，但其早已谈及具体信息。

MailChimp建议所有客户服务落成双重此前验证以进一步管控Gmail。

“我们为此次事件向客户服务端致以诚挚的歉意，并认识到它给我们的客户服务端及客户服务带来的麻烦及问题。但我们为我们的安全性文化、配套以及客户服务对我们的信任而感到骄傲。我们有信心放任安全性的安全措施和流程来管控客户服务端信息，能避免未来再发生事故。“

——Mailchimp 的总监信息化性务 Siobhan Smyth

最近Lapsus$恶意组织也数度发起还击，来进行社会生活工程建设、安全性漏洞和此前伪造手段，回访了包括Nvidia、三星、Google子公司和Okta在内的众多曾为子公司。Lapsus$对Okta的侵略与此次恶意对MailChimp的侵略是类似的，即对一个可以回访核心客户服务赞同和Gmail管理者系统的承包商透过社会生活工程建设还击。

虚假的头巾 | 恶意通过Azure连续性页面来冒充Google子公司

2022.04.02

斩首哑巴了 ！Lapsus$恶意侵略Globant子公司，泄漏70GB信息

2022.04.01

外泄警告！白俄国曝光620名俄国特工

2022.03.31