Intuit, la société mère de Mailchimp, fait face à une action en justice après qu'un récent incident de cybersécurité ait conduit au vol de crypto-monnaie auprès d'un utilisateur de Trezor.
Pour les non-initiés, Mailchimp est l'une des plus grandes plateformes de marketing par courrier électronique et Trezor est l'un des portefeuilles matériels les plus populaires au monde pour stocker des crypto-monnaies.
Le registre a récemment repéré un procès intenté devant un tribunal fédéral du nord de la Californie, dans lequel un certain Alan Levinson de l'Illinois affirme avoir été victime d'une attaque de phishing sophistiquée ayant entraîné le vol de jetons stockés dans son portefeuille Trezor.
Bien qu'il affirme personnellement avoir perdu 87,000 XNUMX €, il affirme également qu'il n'est probablement pas le seul à avoir été trompé et que les dommages réels se chiffrent probablement en millions.
Les utilisateurs de Trezor attaqués
Début avril, nous avons signalé une violation de données chez Mailchimp, dans laquelle les attaquants ont réussi à s'emparer de plus d'une centaine de listes de diffusion. Les listes de diffusion étaient ensuite utilisées pour cibler les personnes victimes d’attaques de phishing, dans le but de leur voler leur argent et leurs avoirs en cryptomonnaies.
Ils ont également accédé aux clés API (maintenant manquantes) d'un nombre inconnu de clients. Avec ces clés, les attaquants pourraient créer des campagnes par e-mail personnalisées et les envoyer à des listes de diffusion sans accéder au portail client de Mailchimp.
L'une des entreprises dont les clients ont été ciblés par une attaque de phishing était Trezor. Peu de temps après la violation, les clients de Trezor ont commencé à recevoir un e-mail indiquant que l'entreprise avait subi une violation de données et demandant aux utilisateurs de télécharger un programme pour les aider à réinitialiser les codes PIN de leurs appareils.
Le programme dissimulait une variété de logiciels malveillants permettant aux attaquants de voler le contenu du portefeuille.
Le procès affirme que les mauvaises normes de sécurité d'Intuit et de Rocket Science Group (une filiale qui gère Mailchimp) ont rendu une telle attaque possible.
"Les pirates ont pu accéder à la liste de diffusion de Trezor (et probablement à d'autres informations non sensibles) via les comptes des employés de MailChimp et/ou d'Intuit", indique le procès.
"En fait, les accusés ont confirmé que les pirates ont utilisé un outil interne pour voler les données de plus de 100 de leurs clients ; les données sont utilisées pour monter des attaques de phishing contre les utilisateurs de services de crypto-monnaie."
Le procès allègue qu'Intuit "délibérément, imprudemment ou par négligence" n'a pas réussi à protéger les données de ses clients et a mis trop de temps à informer ses clients de la violation.
Levinson réclame désormais des dommages-intérêts réels et punitifs, ainsi que des frais juridiques. Il souhaite également être payé pour trois ans de surveillance du crédit.
Par le registre