L’industrie se penche sur l’incident de données MailChimp. – Systeme io

L’industrie se penche sur l’incident de données MailChimp. – Systeme io


La société de marketing par e-mail MailChimp a confirmé cette semaine qu’elle avait subi une violation de données après que des pirates aient infiltré un outil interne de support client et d’administration de compte. Les attaquants ont accédé aux données de 133 utilisateurs en utilisant les informations d’identification des employés acquises lors d’une attaque d’ingénierie sociale visant le personnel et les sous-traitants de MailChimp. La société a détecté pour la première fois un individu non autorisé accédant à ses outils de support système le 11 janvier. Heureusement, MailChimp a pu agir rapidement, suspendant temporairement les comptes sur lesquels une activité suspecte était enregistrée et informant les principaux contacts de tous les comptes concernés moins de vingt-quatre heures après. la brèche a été découverte. Bien que le nombre de clients concernés soit faible, l’un d’eux était le populaire plugin WooCommerce eCommerce pour WordPress, qui a averti les utilisateurs que l’incident avait exposé leurs noms, URL de magasin, adresses et adresses e-mail. MailChimp a déclaré à Bleeping Computer: « Bien que nous ne partagions pas les informations des clients, nous pouvons partager qu’aucune information de carte de crédit ou de mot de passe n’a été compromise à la suite de cet incident. » Une enquête est en cours.

Divulgation rapide par MailChimp.

La réponse de MailChimp frappe certains observateurs comme un bon exemple pour les entreprises en général. Le Dr Ilia Kolochenko, fondateur d’ImmuniWeb et membre du réseau d’experts en protection des données d’Europol, a écrit pour commenter la réaction de l’entreprise. Ce n’est pas un gros incident, mais MailChimp a été divulgué de manière inhabituellement rapide et complète.

« L’accès non autorisé à 133 comptes clients est un incident de sécurité très insignifiant pour une grande entreprise comme Mailchimp. La divulgation transparente de l’incident témoigne plutôt d’un processus DFIR bien établi et de normes éthiques élevées chez Mailchimp, car la plupart des entreprises q de taille similaire essaieront probablement de trouver une excuse valable pour éviter la divulgation obligatoire prescrite par la loi ou imposée par des obligations contractuelles. Le vecteur d’attaque signalé de l’ingénierie sociale et de la réutilisation des mots de passe reste extrêmement efficace aujourd’hui, de nombreuses grandes entreprises en sont régulièrement victimes malgré la cyberdéfense multicouche et les contrôles de sécurité les plus avancés. De plus, le compte prétendument compromis d’un spécialiste du support technique avait probablement accès à un nombre beaucoup plus important de comptes clients, ce qui prouve que l’incident a été détecté et maîtrisé en temps opportun.

L’incident MailChimp et l’importance de la confiance zéro.

Gal Helemski, co-fondateur et CTO/CPO, PlainID voit l’incident comme une démonstration de l’importance de la confiance zéro.

« Dans des attaques comme celle-ci, l’identité est la solution pour trouver l’adversaire et l’éliminer des systèmes. Les organisations doivent adopter une approche  » Zero Trust « , ce qui signifie ne faire confiance à personne – pas même aux utilisateurs ou appareils connus – jusqu’à ce qu’ils aient été vérifiés et Les politiques d’accès et les autorisations dynamiques sont un élément crucial de l’architecture zéro confiance, car elles aident à vérifier qui demande l’accès, le contexte de la demande et le risque de l’environnement d’accès.

« Au lieu de consacrer plus d’argent à une approche de la sécurité, les organisations ont besoin d’une stratégie plus ciblée orientée vers l’achat des outils les plus rémunérateurs. L’identité et l’autorisation sont là où l’argent intelligent devrait aller. Si nous supposons que les pirates sont déjà dans le réseau, il Il est logique de concentrer les budgets sur les technologies qui restreignent les déplacements à l’intérieur du réseau. »

Justin McCarthy, co-fondateur et CTO, StrongDM, note qu’il existe probablement des données autres que les comptes de messagerie susceptibles d’intéresser les attaquants. « Le récent incident Mailchimp a amené les experts en sécurité à se demander si les mauvais acteurs s’attaquent aux comptes de messagerie, il est sûr de dire qu’ils s’attaquent également à vos données, magasins de données, repos, API et plus encore. S’assurer que l’accès est sécurisé pour tous les utilisateurs (administrateurs, développeurs, analystes, etc.) est essentiel pour assurer la sécurité de votre entreprise et de vos clients. Une façon d’y parvenir est d’éliminer toutes les informations d’identification et de passer à un accès juste à temps ou à zéro privilège permanent.

Meilleures pratiques de défense contre l’ingénierie sociale.

Tyler Farrar, CISO, Exabeam, voit une leçon familière : la valeur de suivre les meilleures pratiques. « Les adversaires vont toujours emprunter la voie de la moindre résistance pour atteindre leur objectif final. Les acteurs de la menace qui ont mené cette attaque d’ingénierie sociale ne s’en prenaient probablement pas à Mailchimp, mais aux organisations avec lesquelles la plateforme de messagerie travaille. Plutôt que de tenter d’attaquer chacun des clients individuellement, l’adversaire a probablement pensé qu’il serait plus facile de pénétrer dans Mailchimp. Malheureusement, des attaques comme celles-ci vont devenir de plus en plus courantes. La chaîne d’approvisionnement des logiciels va devenir le vecteur de menace numéro un en 2023. En conséquence, les organisations devraient créer un plan de gestion des risques des fournisseurs, examiner minutieusement les tiers et exiger la responsabilité de rester vigilant et de s’aligner sur les meilleures pratiques en matière de cybersécurité.

Erfan Shadabi, expert en cybersécurité chez Comforte AG, spécialiste de la sécurité des données, tire des leçons dont toute organisation pourrait tirer profit.

« Cet incident de cybersécurité montre à quel point les acteurs de la menace peuvent être intelligents pour adapter les tactiques d’ingénierie sociale existantes. La situation souligne également deux points clés dont chaque entreprise devrait tenir compte.

« Premièrement, il ne suffit pas d’éduquer sporadiquement les employés et les partenaires sur les tactiques d’ingénierie sociale courantes et d’espérer que cela aura un impact significatif sur la prévention ou l’atténuation des incidents. L’ensemble de l’entreprise doit adopter une culture de la cybersécurité dans laquelle la vitesse et la rapidité sont moins valorisées. que la sécurité et l’inspection raisonnable de toutes les demandes d’information et d’action. L’ingénierie sociale s’attaque aux erreurs d’orientation et aux actions et réponses hâtives. Privilégiez le fait que les employés traitent chaque e-mail avec un scepticisme sain.

« Deuxièmement, protégez toutes les données d’entreprise sensibles avec plus qu’une simple sécurité périmétrique, même si vous pensez que le coffre-fort impénétrable dans lequel vous avez tout stocké est infaillible. Assurez-vous que la protection centrée sur les données, comme la tokenisation ou le cryptage préservant le format des informations sensibles au cas où des acteurs de la menace se retrouveraient dans votre écosystème de données. À un moment donné, chaque organisation sera confrontée à une attaque de cybersécurité, alors mieux vaut être préparé.

Chris Hauk, champion de la confidentialité des consommateurs chez Pixel Privacy, exhorte les organisations comme MailChimp à se tourner vers une formation accrue en matière de sensibilisation à la sécurité. « Des organisations comme celle-ci ne devraient pas seulement renforcer leurs mesures de sécurité, elles devraient également mettre en place des programmes de formation pour les employés et les cadres, les éduquant sur les attaques de phishing comme celle qui a facilité ces violations. »

L’ingénierie sociale nécessite en effet une formation pour que les salariés, et donc les organisations, fassent preuve de résistance. Almog Apirion, PDG et co-fondateur de Cyolo, a écrit :

« En un an, MailChimp a subi trois violations de données à la suite d’attaques d’ingénierie sociale, avec l’un des pires scénarios – une violation qui semble être très similaire aux précédentes. Donc, qu’est-ce qui ne va pas? Il est bien trop fréquent que les employés soient victimes d’attaques de phishing qui exposent les actifs sensibles de l’entreprise et les informations personnelles à des menaces malveillantes. Les attaques d’ingénierie sociale rendent les employés particulièrement vulnérables en utilisant la manipulation psychologique pour tirer parti des protocoles de sécurité faibles. Il n’est pas surprenant que le vecteur d’attaque le plus risqué soit l’humain derrière le réseau, le système ou l’application. Au-delà, l’essor du travail à distance a présenté de nouveaux défis pour les entreprises mettant en œuvre des systèmes de sécurité périmétrique. Les entreprises doivent réfléchir à la manière d’étendre les contrôles de sécurité à tous les utilisateurs, même les employés hybrides et les tiers en dehors du réseau de l’entreprise.

« Les entreprises doivent donner la priorité à la sécurisation des identités – le nouveau périmètre pour de nombreuses organisations. En augmentant l’adoption de pratiques de confiance zéro, les entreprises peuvent garantir la validation de tous les utilisateurs, limiter les applications auxquelles chaque utilisateur a droit et capturer une piste d’audit complète pour les analyses médico-légales et besoins de conformité.

Et, bien sûr, des attaques d’ingénierie sociale sont à prévoir. Après tout, ils travaillent. Leonid Belkind, CTO et co-fondateur de Torq, a déclaré : « Le piratage de MailChimp est emblématique du besoin urgent de calibrer étroitement les systèmes de cybersécurité pour faire face de manière proactive à ces attaques inévitables. L’avènement d’une automatisation sophistiquée de la sécurité peut jouer un rôle important dans l’atténuation de ces scénarios. En calibrant de manière granulaire les outils de sécurité, afin qu’ils travaillent ensemble pour identifier, alerter et remédier à ces attaques, l’automatisation de la sécurité peut ajouter une couche de protection critique qui manque dans d’innombrables configurations de sécurité d’entreprise.

Laisser un commentaire