image

E-mailmarketingplatform MailChimp aangeklaagd wegens datalek

vrijdag 29 april 2022, 09:53 door Redactie, 3 reacties

E-mailmarketingplatform MailChimp is in de Verenigde Staten aangeklaagd wegens een datalek waardoor een phishingaanval op gebruikers van cryptowallet Trezor kon worden uitgevoerd. Volgens de klagers zou bij deze aanval voor miljoenen aan cryptovaluta zijn gestolen (pdf).

Via MailChimp kunnen bedrijven en organisaties nieuwsbrieven en marketingmails versturen. Het lukte de aanvaller om door middel van social engineering de inloggegevens van verschillende MailChimp-medewerkers in handen te krijgen. Met deze inloggegevens kon de aanvaller inloggen op een interne tool die MailChimp gebruikt voor klantensupport en accountbeheer.

In totaal bekeek de aanvaller 319 MailChimp-accounts en besloot van 102 van deze accounts "audience data" te downloaden. Het gaat hier om gegevens die klanten van MailChimp over hun gebruikers hebben verzameld, zoals namen en e-mailadressen. Met de toegang die de aanvaller had kon hij uit naam van MailChimp-klanten phishingmails versturen. Eén van de bedrijven die gebruikmaakt van MailChimp voor het versturen van nieuwsbrieven is Trezor.

Trezor biedt een wallet waarmee gebruikers hun cryptovaluta kunnen beheren. De via MailChimp verstuurde phishingmails claimen dat Trezor met een beveiligingsincident te maken had gekregen en de ontvanger één van de slachtoffers was. Vervolgens werd ontvangers opgeroepen om de nieuwste versie van de Trezor Suite te downloaden en een nieuwe pincode voor de cryptowallet in te stellen. De link in de phishingmail wees naar een malafide website waarop een malafide app wordt aangeboden.

De klagers stellen dat MailChimp en moederbedrijf Intuit de eigen systemen niet goed hebben beveiligd, niet hebben voorkomen dat het datalek kon plaatsvinden en dit niet tijdig hebben gemeld. Daarnaast zou MailChimp nalatig zijn geweest bij de opslag van mailinglistgegevens. Met de buitgemaakte informatie was het mogelijk de phishingaanval uit te voeren.

De initiële klager stelt dat hij in de phishingmail trapte en er 82.000 dollar aan cryptovaluta is buitgemaakt. Met de massaclaim wil hij onder andere een schadevergoeding van MailChimp, zo melden Top Class Actions en Law360.

Image

Reacties (3)
29-04-2022, 10:13 door Anoniem
Trezor lijkt me ook niet onschuldig... je gaat toch niet de gegevens van de klanten van zo iets overhandigen aan een bedrijf als Mailchimp??? Tuurlijk zullen die allerlei "certificaties" en "garanties" overleggen mbt de veiligheid van de gegevens, maar die zijn niets waard als het fout gaat.
Stuur de marketingmails dan gewoon ZELF. Of helemaal NIET.
02-05-2022, 09:37 door _R0N_
Door Anoniem: Trezor lijkt me ook niet onschuldig... je gaat toch niet de gegevens van de klanten van zo iets overhandigen aan een bedrijf als Mailchimp??? Tuurlijk zullen die allerlei "certificaties" en "garanties" overleggen mbt de veiligheid van de gegevens, maar die zijn niets waard als het fout gaat.
Stuur de marketingmails dan gewoon ZELF. Of helemaal NIET.

Dat is niet hoe de wereld werkt.
Als je het zelf moet doen moet je die expertise in huis hebben, als je het uitbesteedt verleg je de verantwoordelijkheid.
Denk je echt dat ale die marketingmails die verstuurd worden door bedrijven als KPN, Mediamarkt, ING en Bol.com door hen zelf gedaan worden?
03-05-2022, 13:30 door Anoniem
Door _R0N_:
Door Anoniem: Trezor lijkt me ook niet onschuldig... je gaat toch niet de gegevens van de klanten van zo iets overhandigen aan een bedrijf als Mailchimp??? Tuurlijk zullen die allerlei "certificaties" en "garanties" overleggen mbt de veiligheid van de gegevens, maar die zijn niets waard als het fout gaat.
Stuur de marketingmails dan gewoon ZELF. Of helemaal NIET.

Dat is niet hoe de wereld werkt.
Als je het zelf moet doen moet je die expertise in huis hebben, als je het uitbesteedt verleg je de verantwoordelijkheid.
Denk je echt dat ale die marketingmails die verstuurd worden door bedrijven als KPN, Mediamarkt, ING en Bol.com door hen zelf gedaan worden?

Je stelt dat je de verantwoordelijkheid verlegd. De kans is groot dat het bij partijen als mailchimp het om emailadressen gaat die aan te merken zijn als persoonsgegevens. Vanuit de GDPR / AVG ben je als organisatie hiervoor zelf verantwoordelijk en aansprakelijk. Dat mailchimp (de verwerker) de zaken niet op orde heeft is in eerste aanleg jou probleem. Je moet een verwerker kiezen en daarmee afspraken (verwerkersovereenkomst) maken waarbij gegevens voldoende beveiligd zijn. De meeste verwerkers willen helaas hun aansprakelijkheid beperken en willen al helemaal geen doortossing van een mogelijke boete van de AP die jij kunt krijgen terwijl je verwerker er een potje van maakt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.