Der E-Mail-Versanddienst Mailchimp hat in einem Blogpost einen Security-Vorfall gemeldet. Am 11. Januar habe das Security-Team festgestellt, dass sich ein Eindringling Zugang zu einem Tool verschafft habe, das Angestellte nutzen, um mit Kunden zu kommunizieren und Konten zu verwalten. Der Angreifer habe daraufhin Social-Engineering verwendet, um Angestellte zu täuschen und habe so Zugriff auf Kundenkonten erhalten. Gemäss dem aktuellen Erkenntnisstand seien 133 Konten betroffen. Diese habe man sofort temporär deaktiviert und deren Inhaber informiert.

Einer der betroffenen Kunden von Mailchimp erklärte gegenüber 'Techcrunch', dass er von Mailchimp darüber informiert worden sei, dass keine Passwörter oder "sensible Daten" gestohlen worden seien. Die Angreifer hätten aber auf in den Konten von Mailchimp-Kunden gespeicherte Namen, Webadressen und E-Mail-Adressen von deren Kunden zugreifen können.

Mailchimp wird von seinen Kunden dazu verwendet, Massen-E-Mails, beispielsweise Newsletter, zu verschicken. Die eigentlich interessante Zahl wäre also, wie viele Namen und E-Mail-Adressen von Mailempfängern in den betroffenen Konten gespeichert sind. Diese sind die eigentlichen potenziellen Opfer, die nun durch Mails der Angreifer manipuliert werden könnten.

Mailchimp gab bereits im vergangenen April einen identischen Angriff bekannt. Wie im aktuellen Fall erhielten die Angreifer Zugriff auf das Kundensupport-Tool und erschlichen sich dann Zugangsdaten für Kundenkonten. Damals waren 300 Kundenkonten betroffen.

Auch unser Verlag Winsider gehört zu den Kunden von Mailchimp. Inside-it.ch verwendet den Service zum Versand seiner Newsletter. Weder jetzt noch im vergangenen Frühling wurden wir von Mailchimp über einen potenziell unerlaubten Zugriff informiert. Wir glauben deshalb, dass die E-Mail-Adressen unserer Leser nicht betroffen sind.