Cloudprovider DigitalOcean heeft klanten gewaarschuwd voor een datalek nadat aanvallers wisten in te breken bij e-mailmarketingbedrijf MailChimp. Vanwege het datalek heeft DigitalOcean het contract met MailChimp opgezegd. Via MailChimp kunnen bedrijven en organisaties nieuwsbrieven en marketingmails versturen, maar ook andere e-mailcommunicatie. Ook DigitalOcean maakte gebruik van de diensten van het bedrijf, mede voor het uitvoeren van wachtwoordresets, versturen van mailwaarschuwingen en e-mailbevestigingen.

Vorige week ontdekte de cloudprovider dat een aanvaller het eigen MailChimp-account had gecompromitteerd, wat volgens DigitalOcean vermoedelijk een groter beveiligingsincident lijkt te zijn. Zo werden transactionele e-mails van DigitalOcean die via MailChimp werden verstuurd niet meer afgeleverd bij klanten. Het ging onder andere om wachtwoordresets en e-mailbevestigingen.

De aanvaller kreeg via het gecompromitteerde DigitalOcean MailChimp-account toegang tot e-mailadressen van DigitalOcean-klanten. Vervolgens probeerde de aanvaller toegang tot de accounts van deze klanten te krijgen door in naam van klanten wachtwoordresets uit te voeren. Ten tijde van de aanval liet tenminste één klant weten dat het wachtwoord van zijn account was gereset. De cloudprovider meldt dat de accounts van deze klanten inmiddels zijn beveiligd. Naast de e-mailadressen zijn er geen andere klantgegevens buitgemaakt.

Na de ontdekking op 8 augustus dat het eigen MailChimp-account was gecompromitteerd nam DigitalOcean contact op met MailChimp, maar de cloudprovider stelt dat het pas op 10 augustus een echte reactie ontving. MailChimp bevestigde dat een aanvaller toegang tot de interne tools van de e-mailmarketeer had gekregen. Vervolgens wist de aanvaller voor verschillende DigitalOcean-klanten-klanten wachtwoordresets uit te voeren. Doordat een aantal van deze klanten tweefactorauthenticatie gebruikte kreeg de aanvaller geen toegang tot hun account.

Vanwege het datalek heeft DigitalOcean besloten om geen gebruik meer van de diensten van MailChimp te maken. Daarnaast stelt de cloudprovider dat het incident aantoont dat meer inzicht in de veiligheid van derde partijen nodig is en het gebruik van tweefactorauthenticatie door klanten moet worden uitgebreid. Eerder dit jaar wist een aanvaller ook al toegang tot een interne tool van MailChimp te krijgen om vervolgens van meer dan honderd accounts klantgegevens te stelen.