Troy Hunt, Betreiber des Dienstes Have-I-Been-Pwned (HIBP), wurde Opfer einer Phishing-Attacke und damit selbst "Pwned". Es sind 16.627 E-Mail-Adressen der Mailingliste für den Newsletter zu Troys persönlichen Blog dadurch in unbefugte Hände abgeflossen.
In einem Blog-Beitrag erklärt Hunt, wie es zu dem Vorfall kommen konnte. Immerhin dürfte der Betreiber des größten öffentlich zugreifbaren Datenleck-Prüfungsdienstes erwartungsgemäß besonders widerstandsfähig gegen Phishing sein. Die Erklärung, wieso es nun anders kam, ist aber so einfach wie erwartbar: Hunt war demnach wirklich müde, litt an Jetlag und war beim Denken dadurch etwas langsam, erörtert er dort.
Hunt war in London unterwegs, als er eine Mail erhielt, die behauptete, dass seine Senderechte beim Mailinglisten-Dienst Mailchimp eingeschränkt wurden, da Beschwerden über SPAM-Versand vorlägen. Er folgte dem Link in der Mail, landete auf "mailchimp-sso.com" und gab dort seine Zugangsdaten ein, die von seinem Passwort-Manager 1Passwort nicht automatisch ausgefüllt wurden. Nach Angabe seines OTP aus der Authenticator-App hing die Seite jedoch fest – daraufhin fiel der Groschen: Hunt meldete sich bei der offiziellen Mailchimp-Webseite an, und eine Bestätigungsmail von Mailchimp benachrichtigte ihn über die Nutzung seiner Londoner IP-Adresse beim Dienst.
Er änderte umgehend sein Passwort, als ihn eine weitere Benachrichtigungsmail erreichte, in der er über den Export der Mailinglisten-Adressen von einer IP in New York informiert wurde. Nahezu zeitgleich kam eine Mail, die über einen Log-in von der New Yorker IP-Adresse informierte. Hunt erörtert, dass es offenbar ein hochautomatisierter Angriff war, um die Liste sofort zu exportieren, bevor ein Opfer Gegenmaßnahmen ergreifen kann. Die kopierten Daten umfassen die E-Mail-Adresse, IP-Adressen und geografische Ort. Es waren zudem auch noch Adressen von ehemals angemeldeten Newsletter-Empfängern enthalten, die sich bereits abgemeldet hatten. Das liege jedoch an Mailchimp: Der Anbieter löscht die Adressen nicht automatisch, sondern markiert sie lediglich als "unsubscribed"; Mailinglisten-Nutzer müssen sie manuell entfernen.
Hunt gibt sich zerknirscht und ist frustriert, auf diesen Phish hereingefallen zu sein. Er erörtert noch weitere Punkte, die den Erfolg der bösartigen Akteure begünstigt haben. So ermögliche Mailchimp die Absicherung mit zweitem Faktor, was jedoch weniger Phishing-sicher als Passkeys ist. Zudem zeigt Outlook nur den angegebenen Namen als Absender einer Mail an, anstatt die vollständige und eindeutig falsche E-Mail-Adresse selbst. Inzwischen ist die Domain auch in Googles Safe-Browsing-Datenbank gelandet, wodurch Webbrowser vor der Gefahr warnen.
Um im besten Sinne Transparenz zu demonstrieren, hat Hunt nun seine Mailchimp-Mailingliste in den HIBP-Datenfundus aufgenommen. Wer auf seiner Mailingliste registriert ist oder war, sollte bei Mails mit derartigem Bezug erhöhte Vorsicht walten lassen: Phisher können Informationen zur Datenherkunft für personalisierte und angepasste Angriffe missbrauchen.
Die heise security Tour 2025 widmet dem Phänomen Phishing auch einen eigenen Vortrag. Der erklärt nicht nur technisch, welche Tricks Phisher mittlerweile einsetzen. Er zeigt auch, wie Unternehmen ihre Mitarbeiter sinnvoll davor schützen können.
(
Kommentare