Have I Been Pwned getroffen door phishingaanval, duizenden e-mailadressen gelekt
Via Have I Been Pwned kunnen gebruikers nagaan of hun accounts ooit betrokken zijn geweest bij een datalek. Ook kunnen zij zich aanmelden voor beveiligingsmeldingen: als hun e-mailadres later opduikt in een datalek, worden zij hier proactief over ingelicht. Wie zich hiervoor heeft ingeschreven, loopt nu het risico dat zijn e-mailadres is gestolen.
Hunt schrijft in een blogpost dat hij slachtoffer is geworden van een phishingaanval. De hackers deden zich daarbij voor als e-mailmarketingplatform MailChimp en stuurden hem een e-mail met de mededeling dat zijn account was beperkt. Volgens de e-mail moest hij zich aanmelden om de precieze details te bekijken.
16.000 e-mailadressen gelekt
Hunt trapte in de aanval, klikte op de link en vulde zijn e-mailadres, wachtwoord en de 2FA-code in die vereist is om bij MailChimp in te loggen. De hackers maakten hier onmiddellijk gebruik van en wisten een mailinglijst van Have I Been Pwned te exporteren. Volgens Hunt stonden daar ruim 16.000 e-mailadressen in opgeslagen.
Getroffen gebruikers worden door hem ingelicht. Daarnaast heeft hij de volledige lijst van 16.000 e-mailadressen toegevoegd aan de Have I Been Pwned-database. Wie wil controleren of zijn e-mailadres door de aanval is gelekt, kan dit nagaan via de HIBP-website.
Bijna de helft van de gelekte e-mailadressen (7.535) stond eerder al geregistreerd in de HIBP-database, zegt Hunt. Naast e-mailadressen zijn ook IP-adressen en locatiegegevens van gebruikers gelekt, vermoedelijk afgeleid van het IP-adres.
Gebrekkige 2FA van MailChimp
Hunt gebruikt de situatie ook om te wijzen op de gebrekkige tweetrapsverificatie van MailChimp. Die is volgens hem ‘niet phishingbestendig’, omdat de code rechtstreeks van de ene naar de andere website kon worden verstuurd. Hij pleit voor de integratie van 2FA via een fysieke sleutel, omdat verificatie daarmee niet kan worden gedeeld.
