Intuit ซึ่งเป็นบริษัทแม่ของ Mailchimp กำลังเผชิญกับการฟ้องร้องหลังจากเหตุการณ์ด้านความปลอดภัยทางไซเบอร์ล่าสุดที่นำไปสู่การขโมยสกุลเงินดิจิทัลจากผู้ใช้ Trezor
สำหรับผู้ที่ไม่ได้ฝึกหัด Mailchimp เป็นหนึ่งในแพลตฟอร์มการตลาดผ่านอีเมลที่ใหญ่ที่สุด และ Trezor เป็นหนึ่งในกระเป๋าเงินฮาร์ดแวร์ที่ได้รับความนิยมมากที่สุดในโลกสำหรับการจัดเก็บ
สำนักทะเบียนเพิ่งพบการฟ้องร้องในศาลรัฐบาลกลางในแคลิฟอร์เนียตอนเหนือ ซึ่ง Alan Levinson จากอิลลินอยส์อ้างว่าเขาตกเป็นเหยื่อของการโจมตีแบบฟิชชิ่งที่ซับซ้อนซึ่งส่งผลให้โทเค็นที่เก็บไว้ในกระเป๋า Trezor ของเขาถูกขโมย
แม้ว่าโดยส่วนตัวแล้วเขาอ้างว่าเสียเงินไป 87,000 ยูโร แต่เขายังอ้างว่าเขาอาจไม่ใช่คนเดียวที่โกง และค่าเสียหายที่แท้จริงน่าจะอยู่ในหลายล้าน
ผู้ใช้ Trezor ถูกโจมตี
ในต้นเดือนเมษายน เรารายงานการละเมิดข้อมูลที่ Mailchimp ซึ่งผู้โจมตีได้เข้าถึงรายชื่ออีเมลกว่าร้อยรายการ รายชื่อส่งเมลถูกใช้เพื่อกำหนดเป้าหมายผู้ที่ตกเป็นเหยื่อของการโจมตีแบบฟิชชิ่ง โดยมีจุดประสงค์เพื่อขโมยเงินและการถือครองคริปโตเคอเรนซีของพวกเขา
พวกเขายังเข้าถึงคีย์ API (หมดอายุแล้ว) ของไคลเอ็นต์ที่ไม่รู้จักจำนวนหนึ่ง ด้วยคีย์เหล่านี้ ผู้โจมตีสามารถสร้างแคมเปญอีเมลที่กำหนดเองและส่งไปยังรายชื่ออีเมลโดยไม่ต้องเข้าถึงพอร์ทัลลูกค้า Mailchimp
หนึ่งในบริษัทที่ลูกค้าตกเป็นเป้าหมายของการโจมตีแบบฟิชชิ่งคือ Trezor ไม่นานหลังจากการละเมิด ลูกค้าของ Trezor เริ่มได้รับอีเมลแจ้งว่าบริษัทประสบกับการละเมิดข้อมูลและขอให้ผู้ใช้ดาวน์โหลดโปรแกรมเพื่อช่วยรีเซ็ต PIN บนอุปกรณ์ของตน
โปรแกรมได้ปลอมแปลงมัลแวร์หลายชนิดที่อนุญาตให้ผู้โจมตีขโมยเนื้อหาของกระเป๋าเงินได้
คดีดังกล่าวอ้างว่ามาตรฐานความปลอดภัยต่ำของ Intuit และ Rocket Science Group (บริษัทในเครือที่ดูแล Mailchimp) ทำให้การโจมตีดังกล่าวเป็นไปได้
"แฮ็กเกอร์สามารถเข้าถึงรายชื่อผู้รับจดหมายของ Trezor (และข้อมูลอื่น ๆ ที่ไม่ละเอียดอ่อน) ผ่านบัญชีพนักงานของ MailChimp และ/หรือ Intuit" คำฟ้องระบุ
"ในความเป็นจริง จำเลยยืนยันว่าแฮ็กเกอร์ใช้เครื่องมือพนักงานภายในเพื่อขโมยข้อมูลของลูกค้ามากกว่า 100 ราย ข้อมูลดังกล่าวถูกใช้เพื่อโจมตีแบบฟิชชิ่งกับผู้ใช้บริการสกุลเงินดิจิทัล"
คดีดังกล่าวอ้างว่า Intuit "จงใจ สะเพร่า หรือประมาทเลินเล่อ" ล้มเหลวในการปกป้องข้อมูลลูกค้า และใช้เวลานานเกินไปในการแจ้งให้ลูกค้าทราบถึงการละเมิด
ตอนนี้เลวินสันกำลังเรียกร้องค่าเสียหายเชิงลงโทษที่แท้จริง รวมถึงค่าธรรมเนียมทางกฎหมาย เขาต้องการรับเงินเป็นเวลาสามปีในการติดตามสินเชื่อ
ผ่านรีจิสทรี