9 months ago
9
Auch bekannte Sicherheitsexperten sind nicht vor Phishing gefeit, wie Troy Hunt, Gründer von Have I Been Pwned, kürzlich erfahren musste. Hunt beschreibt in seinem Blog, wie er Opfer eines raffinierten Phishing-Angriffs wurde, der auf seine Mailchimp-Daten abzielte. Aufgrund von Müdigkeit und Jetlag gab er seine Zugangsdaten auf einer gefälschten Mailchimp-Seite ein. Der Angriff lief automatisiert ab und exportierte seine Mailingliste mit rund 16.000 Einträgen, bevor Hunt reagieren konnte. Die Liste enthielt E-Mail-Adressen und weitere von Mailchimp gesammelte Informationen, selbst von Nutzern, die sich bereits abgemeldet hatten.
Hunt änderte sofort sein Passwort und kontaktierte Mailchimp. Er bemerkte, dass das fehlende automatische Ausfüllen seiner Zugangsdaten ein Warnsignal hätte sein müssen, er es aber ignorierte. Besonders ärgerlich fand er, dass Mailchimp Daten von abgemeldeten Nutzern speichert. Hunt betont die Wichtigkeit Phishing-resistenter 2FA-Methoden wie Passkeys, da Einmalpasswörter bei automatisierten Angriffen leicht abgefangen werden können. Da die Phishing-Mail an eine Adresse ging, die er ausschließlich für Mailchimp nutzt, vermutet er ein mögliches Datenleck bei Mailchimp selbst, eventuell im Zusammenhang mit einem früheren Sicherheitsvorfall. Die kompromittierten Daten wurden in Have I Been Pwned geladen, um betroffene Abonnenten zu informieren. Hunt plant zudem, eine Übersicht über Dienste zu erstellen, die keine Passkeys unterstützen.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
