Mailchimp-Phishing: Auch Troy Hunt hat es erwischt
von caschy | 6 Kommentare
Auch bekannte Sicherheitsexperten sind nicht vor Phishing gefeit, wie Troy Hunt, Gründer von Have I Been Pwned, kürzlich erfahren musste. Hunt beschreibt in seinem Blog, wie er Opfer eines raffinierten Phishing-Angriffs wurde, der auf seine Mailchimp-Daten abzielte. Aufgrund von Müdigkeit und Jetlag gab er seine Zugangsdaten auf einer gefälschten Mailchimp-Seite ein. Der Angriff lief automatisiert ab und exportierte seine Mailingliste mit rund 16.000 Einträgen, bevor Hunt reagieren konnte. Die Liste enthielt E-Mail-Adressen und weitere von Mailchimp gesammelte Informationen, selbst von Nutzern, die sich bereits abgemeldet hatten.
Hunt änderte sofort sein Passwort und kontaktierte Mailchimp. Er bemerkte, dass das fehlende automatische Ausfüllen seiner Zugangsdaten ein Warnsignal hätte sein müssen, er es aber ignorierte. Besonders ärgerlich fand er, dass Mailchimp Daten von abgemeldeten Nutzern speichert. Hunt betont die Wichtigkeit Phishing-resistenter 2FA-Methoden wie Passkeys, da Einmalpasswörter bei automatisierten Angriffen leicht abgefangen werden können. Da die Phishing-Mail an eine Adresse ging, die er ausschließlich für Mailchimp nutzt, vermutet er ein mögliches Datenleck bei Mailchimp selbst, eventuell im Zusammenhang mit einem früheren Sicherheitsvorfall. Die kompromittierten Daten wurden in Have I Been Pwned geladen, um betroffene Abonnenten zu informieren. Hunt plant zudem, eine Übersicht über Dienste zu erstellen, die keine Passkeys unterstützen.
![Russell Hobbs Heißluftfritteuse L 4L Rapid AirFryer [sehr kleines Gehäuse/7 Kochfunktionen/10 Programme] SatisFry...](https://m.media-amazon.com/images/I/41ozGWiuvBL._SL160_.jpg)
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Jetzt spinnen wir das mal weiter. Der Passkey geht nicht. So wie er das automatische ausfüllen ignoriert hat ignoriert er auch das. Also greift er auf die noch vorhandene klassische Anmeldung zurück. Also Augen auf bei dem was man macht. Im Zweifel auf später verschieben.
Wenn passkey nicht geht ist das ein deutlicheres Warnsignal als Autofill. Autofill funktioniert mal besser mal schlechter, vor allem in Apps schlechter.
Passkey nutzen die Domain ja direkt als Teil des Sicherungsmechanismus. Wenn das nicht geht, dann ist etwas gewaltig schief.
Passkeys schützen schon. Der Angreifer bekommt nicht den Passkey sondern nur den Hash, so wie ich das verstanden hab. Mit diesem kann er sich aber nicht anmelden.
Die Idee von Passkeys ist, dass die die Klassische Anmeldung ersetzen. Dann kann man auch nicht auf einfache Logindaten zurückgreifen.
> Hunt plant zudem, eine Übersicht über Dienste zu erstellen, die keine Passkeys unterstützen.
Andersrum wäre sicher einfacher.
Ist das so? Bei meinen Tools ist es eher die Ausnahme, dass schon auf Passkeys umgestellt wurde.