Aunque hablar de cientos de cuentas dentro de un gigante como Mailchimp puede parecer algo insignificante, es importante tener en cuenta que incluso un servicio de email marketing de este tamaño puede estar sujeto a problemas de seguridad.
Mailchimp ha confirmado una violación de datos generada después de la infección de una herramienta interna de la empresa.
Lo notaron el día 26 de marzo, cuando vieron que un cibercriminal accedió a una herramienta utilizada por los equipos de atención al cliente. Lo consiguió usando ingeniería social, un error humano después de haber sido engañado por el criminal después de una llamada o correo electrónico.
Consiguieron cancelar rápidamente el acceso de las cuentas de los empleados comprometidos, pero 300 cuentas de Mailchimp se vieron comprometidas, y se exportaron con éxito datos de audiencia de 102 de ellas.
El objetivo fueron clientes en los sectores de criptomonedas y finanzas, por lo que es posible que esos afectados reciban ahora emails intentando engañarles para perder las criptomonedas que tengan almacenadas.
Además de cuentas, también se tuvo acceso a claves API, pero no han informado cuántas. Con esas claves se pueden enviar correos electrónicos falsificados, pero han sido desactivados para evitar problemas.
Es un claro ejemplo de cómo, por mucho que se invierta en seguridad informática, la ingeniería social, el engaño a los empleados, puede abrir las puertas a la información deseada. Desde una llamada haciéndose pasar por soporte técnico, a un email falsificado del jefe, puede ser suficiente para generar un caos dentro de cualquier compañía.