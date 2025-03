Troy Hunt, beveiligingsonderzoeker en oprichter van datalekzoekmachine Have I Been Pwned (HIBP), heeft gegevens van abonnees van zijn mailinglist gelekt nadat hij slachtoffer werd van een phishingmail. Via HIBP kunnen mensen kijken of hun e-mailadres in een bekend datalek voorkomt. De zoekmachine telt inmiddels 877 gecompromitteerde websites en bijna 15 miljard 'pwned accounts'.

Hunt laat vandaag in een blogpost weten dat hij zelf slachtoffer van een phishingmail is geworden die van e-mailmarketingplatform MailChimp afkomstig leek. Volgens het bericht was het versturen van e-mailberichten beperkt en moest hij zijn account controleren. Hunt opende de link die naar een phishingsite wees en logde in met zijn gebruikersnaam en wachtwoord, gevolgd door een 2FA-code.

Met deze gegevens konden de aanvallers inloggen op zijn MailChimp-account en vervolgens de mailinglist exporteren. Die bevat volgens Hunt zestienduizend records. De beveiligingsonderzoeker zegt dat hij alle getroffen abonnees zo snel mogelijk gaat waarschuwen. Daarnaast merkt hij op dat MailChimp geen phishingbestendige tweefactorauthenticatie (2FA) biedt. Daardoor kon zijn ingevoerde 2FA-code meteen naar de echte website worden doorgestuurd, aldus de onderzoeker, die op een later moment met meer informatie zegt te komen.

Update

Hunt heeft de gelekte e-mailadressen toegevoegd aan Have I Been Pwned . Het gaat om ruim 16.000 accounts, waaronder e-mailadressen, ip-adressen, locatiegegevens en tijdszone. Van de gelekte e-mailadressen was 75 procent al via een ander datalek bij de zoekmachine bekend.