Satclub-Thueringen (http://www.satclub-thueringen.de/index.php)
- Allgemeines (http://www.satclub-thueringen.de/board.php?boardid=38)
-- Off - Topic (http://www.satclub-thueringen.de/board.php?boardid=26)
--- Gründer von HaveIBeenPwned fällt auf Phishing-Mail rein (http://www.satclub-thueringen.de/thread.php?threadid=34637)

Geschrieben von Whitebird am 27.03.2025 um 11:19:

Augenzwinkern Gründer von HaveIBeenPwned fällt auf Phishing-Mail rein

Passiert auch Profis:
Gründer von HaveIBeenPwned fällt auf Phishing-Mail rein
Ein Phisher hat die Mailingliste von Troy Hunt erbeutet. Der Vorfall zeigt eindrucksvoll, dass auch Sicherheitsexperten manchmal unvorsichtig sind.

Marc Stöckel
27. März 2025, 10:32 Uhr


Für Betroffene ist es in der Regel äußerst unangenehm, auf einen Phishing-Angriff hereingefallen zu sein. Dass das aber auch namhaften Sicherheitsexperten passieren kann, zeigt ein neuer Blogbeitrag von Troy Hunt, dem Gründer des Datenleck-Prüfdienstes HaveIBeenPwned (HIBP). Er fiel demnach kürzlich selbst auf eine Phishing-Mail herein, die zum Abfluss seiner Mailingliste führte.

Betroffen sind damit E-Mail-Adressen, Standortdaten und IP-Adressen von insgesamt 16.627 Nutzern, die den Newsletter von Troy Hunt abonniert hatten. Wie auch bei anderen Datenlecks üblich, hat der Sicherheitsexperte die betroffenen Daten in die Datenbank von HaveIBeenPwned geladen, so dass Anwender über die Webseite des Dienstes prüfen können, ob sie betroffen sind.


Jetlag mündet in Datenklau

Abgeflossen sind die Daten aus dem Mailchimp-Account von Hunt. Der Angreifer war in der Lage, die Zugangsdaten des HIBP-Gründers in seinen Besitz zu bringen und damit die Mailingliste zu exportieren. Erreicht hat er das mit einer Phishing-Mail, die vorgeblich von Mailchimp kam und Hunt darauf hinwies, dass sein Konto für Spam missbraucht worden sei. Daher habe der Dienst seine Senderechte eingeschränkt.

Unterhalb des Textes gab es einen Button mit der Aufschrift "Review Account". Hunt sollte diesen anklicken und sein Konto überprüfen, um die Senderechte wiederherzustellen. Trotz besseren Wissens tat er genau das und loggte sich auf der unter mailchimp-sso.com gehosteten Phishingseite mit seinen Zugangsdaten inklusive OTP ein.

Dass es sich um einen Phishingversuch handelte, hätte Hunt auch aufgrund der Tatsache erkennen können, dass sein Passwortmanager die Zugangsdaten auf der Phishingseite nicht wie gewohnt automatisch eingetragen hatte. Der Experte argumentiert, er sei müde gewesen und habe zu diesem Zeitpunkt unter einem Jetlag gelitten.


Die Passwortänderung kam zu spät

Nachdem die Phishingseite unmittelbar nach der Anmeldung kurz hängen blieb, realisierte Hunt aber, was gerade passiert war. Schnell meldete er sich über die offizielle Mailchimp-Seite an und änderte sein Passwort. In der Zwischenzeit hatte er aber schon eine Benachrichtigung über einen Export seiner Mailingliste von einer New Yorker IP-Adresse erhalten.

Zudem hatte der Angreifer einen API-Key erzeugt, was Hunt ebenfalls durch eine E-Mail bestätigt bekam. Der HIBP-Gründer geht aufgrund der schnell aufeinanderfolgenden Aktionen davon aus, dass der Angriff weitgehend automatisiert ablief und auf einen sofortigen Export der Mailinglisten von Mailchimp ausgelegt war.

Für all jene, die sich für weitere Details zu dem Angriff interessieren, lohnt sich ein Blick in den Blogbeitrag von Hunt. Der Sicherheitsexperte aktualisierte seine Ausführungen schon mehrfach und teilt laufend neue Erkenntnisse.

Ein wenig kurios ist auch der Zeitpunkt des Angriffs. Er erfolgte einen Tag, nachdem Hunt mehrere Stunden mit dem britischen National Cyber Security Centre darüber gesprochen hatte, wie sich phishingresistente Passkeys besser fördern lassen.

quelle: golem.de


Forensoftware: Burning Board 2.3.6, entwickelt von WoltLab GmbH