Dans l'escarcelle d'Intuit pour la bagatelle de 12 Md$ depuis septembre 2021, Mailchimp est un poids-lourd de la gestion des campagnes d'e-mailing marketing. Et aussi une cible pour les cyberpirates en tous genres, qui visent régulièrement cet éditeur comme par exemple en avril et en août de l'an passé. Il n'a cette fois pas fallu attendre que 2023 soit bien entamé avant de voir surgir une autre cyberattaque : « Le 11 janvier, l'équipe Mailchimp Security a identifié un acteur non autorisé accédant à l'un de nos outils utilisés par les équipes Mailchimp en contact avec les clients pour le support client et l'administration des comptes », a prévenu la société. Le ou les pirates « ont a mené une attaque d'ingénierie sociale contre les employés et sous-traitants de Mailchimp et ont obtenu l'accès à certains comptes Mailchimp en utilisant les informations d'identification des employés compromises lors de cette attaque ».
Les premiers éléments de l'enquête interne montrent que 133 comptes Mailchimp ont été compromis. « Il n'y a aucune preuve que cela a exposé les systèmes Intuit ou les données client au-delà de ces comptes Mailchimp », explique l'éditeur. Concernant les informations qui ont été exposées, un client de Mailchimp, WooCommerce qui édite un plug-in pour WordPress, indique que des des noms, des URL de sites web ainsi que des adresses e-mail ont été exposées. « Aucune donnée de paiement, mots de passe, et autre information sensible de sécurité ne fait partie de cette brèche », indique WooCommerce.
Un risque d'actions malveillantes à venir
Suite à cette découverte, Mailchimp a temporairement suspendu l'accès aux comptes des clients concernés qui ont été prévenus dans la foulée en moins de 24h. « Nous poursuivons notre enquête et fournirons aux titulaires de compte concernés des informations précises et opportunes tout au long de ce processus », a indiqué Mailchimp. De son côté, WooCommerce a tenu à prévenir ses utilisateurs : « rien n'indique que la personne qui s'est engagée dans un accès non autorisé à Mailchim ait pris des mesures avec les informations exposées. Nous vous contactons par prudence pour vous alerter de cette possibilité à l'avenir ». Sage précaution car les cybercriminels savent toujours bien utiliser à mauvais escient les données volées pour de futures potentielles campagnes malveillantes (phishing, spear phishing, usurpation d'identité...).