電子報是網路行銷的重要管道之一,許多國內外公司採用的電子報服務 Mailchimp 又遭駭客攻擊,超過百名客戶資料外洩,這是該公司過去 6 個月內第二度遭駭,這次手法與上次事件幾乎一模一樣。
Mailchimp 指出,駭客針對員工和合作廠商進行社交工程攻擊(Social Engineering Attack),利用人性弱點,哄騙對方提供如密碼等個人資訊。駭客再利用員工密碼取得 133 個 Mailchimp 帳號資料,公司已經通知這些帳號遭入侵的客戶。
其中一個被駭客入侵的 Mailchimp 帳號隸屬於 WooCommerce,它是安裝在 WordPress 上免費開源的電商購物車系統,用戶數據悉超過 500 萬,平時利用 Mailchimp 發送電子郵件給用戶。WooCommerce 向用戶說明,經過這次事件用戶的姓名、網路商店網址、電子郵件地址等可能被外洩,但密碼或其他敏感資訊未被盜用。
Mailchimp 的安全團隊在 1 月 11 日偵測到一名入侵者造訪客服支援和帳號管理所使用的其中一項內部工具,因此發現這次事件,但未深入說明入侵者停留多長的時間以及其他細節。
回顧 2022 年 8 月,Mailchimp 也曾證實自家客服人員遭受社交工程攻擊,使得入侵者未經授權卻能造訪 Mailchimp 內部工具。發現約有 214 個 Mailchimp 帳號資料遭到外洩,大部分是加密貨幣和金融相關服務。雲端運算公司 DigitalOcean 證實帳號遭盜盜用,並嚴厲批評 Mailchimp 對於資料外洩的處理方式。
Mailchimp 當時表示,該公司實施一套額外的資安加強措施,但拒絕透露細節。這次對比上次事件可說是一模一樣,目前不清楚 Mailchimp 是否確實執行加強措施,或者計畫已經失效。此外,Mailchimp 資安長 Siobhan Smyth 在上次事件後即離職,公司也未對外說明由誰負責掌管資安業務。
唯一可以確定的是,Mailchimp 資安控管和員工教育出現很大的問題,再不加強資安措施,只會讓更多客戶資料外洩。
- Information About a Recent Security Incident
- Newsletter Service Mailchimp Says It Was Hacked — Again
- Mailchimp says it was hacked — again
(首圖來源:Mailchimp)