Mailchimp, el gigante del marketing por correo electrónico y newsletter, dice que fue pirateado y que se expusieron los datos de docenas de clientes. Es la segunda vez que la empresa es hackeada en los últimos seis meses. Peor aún, esta brecha parece ser casi idéntica a un incidente anterior.
Mailchimp dijo en una entrada de blog no atribuida que su equipo de seguridad detectó a un intruso el 11 de enero accediendo a una de sus herramientas internas utilizadas por el servicio de atención al cliente y administración de cuentas de Mailchimp, aunque la compañía no dijo durante cuánto tiempo estuvo el intruso en sus sistemas, si se sabe. Mailchimp dijo que el hacker se dirigió a sus empleados y contratistas con un ataque de ingeniería social, en el que alguien utiliza técnicas de manipulación por teléfono, correo electrónico o texto para obtener información privada, como contraseñas. A continuación, el pirata utilizó esas contraseñas comprometidas de los empleados para acceder a los datos de 133 cuentas de Mailchimp, a las que la empresa notificó la intrusión.
Una de esas cuentas específicas pertenece al gigante del comercio electrónico WooCommerce. En una nota a los clientes, WooCommerce dijo que Mailchimp le notificó un día después que la violación pudo haber expuesto los nombres, las direcciones web de las tiendas y las direcciones de correo electrónico de sus clientes, aunque dijo que no se tomaron las contraseñas de los clientes ni otros datos confidenciales.
WooCommerce, que crea y mantiene herramientas populares de comercio electrónico de código abierto para pequeñas empresas, confía en Mailchimp para enviar correos electrónicos a sus clientes. Se dice que WooCommerce tiene más de cinco millones de clientes.
Si todo esto suena vagamente familiar, es porque lo es. En agosto pasado, Mailchimp dijo que fue víctima de un ataque de ingeniería social que comprometió las credenciales de su personal de atención al cliente, otorgando al intruso acceso a las herramientas internas de Mailchimp. En esa violación, se comprometieron los datos de unas 214 cuentas de Mailchimp, en su mayoría cuentas relacionadas con criptomonedas y finanzas. El gigante de la nube DigitalOcean confirmó que su cuenta se vio comprometida en el incidente y criticó duramente el manejo de la violación por parte de Mailchimp.
Mailchimp dijo en ese momento que había implementado «un conjunto adicional de medidas de seguridad mejoradas», pero se negó a decir qué implicaban esas medidas. Con una repetición casi idéntica de su violación anterior, no está claro si Mailchimp implementó correctamente esas medidas mejoradas o si esas medidas fallaron.
Intuit, que compró Mailchimp por $ 12 mil millones en 2021, no respondió a un correo electrónico el miércoles, que incluía preguntas sobre el incidente. No está claro de inmediato quién, si es que hay alguien, es responsable de la ciberseguridad en Mailchimp luego de la partida de su directora de seguridad de la información, Siobhan Smyth, poco después de la violación de agosto.