Maker van Have I Been Pwned trapt zelf in phishingmail

Troy Hunt – cybersecurity-expert en oprichter van Have I Been Pwned, de populaire dienst waarmee je kunt checken of je e-mailadres ooit is gelekt – is zelf slachtoffer geworden van een phishingaanval waarbij zijn volledige Mailchimp-mailinglijst werd buitgemaakt.

In een blogpost legt Hunt uit hoe hij een phishingmail ontving die vrijwel identiek was aan een officiële Mailchimp-e-mail. Daarin stond dat zijn account was beperkt vanwege meerdere spamrapporten. Onderaan de mail stond een link om het probleem op te lossen. Toen Hunt zijn inloggegevens invoerde, inclusief een tweefactorauthenticatiecode, liep de website vast. Hij wijzigde direct zijn wachtwoord, maar het kwaad was al geschied: kort daarna ontving hij een melding dat zijn volledige e-maillijst was geëxporteerd vanaf een IP-adres in New York, terwijl hij zelf in Londen was.

De gestolen lijst bevatte 16.000 e-mailadressen, waarvan er 7.353 al eerder hadden aangegeven geen mails meer te willen ontvangen. Grote kans dat deze contactgegevens worden gebruikt voor verdere phishingaanvallen.

Hunt sprak zijn spijt uit, maar benadrukte ook dat deze ervaring waardevol kan zijn:

“Mijn oprechte excuses aan iedereen die hierdoor geraakt is. Maar alles afwegende denk ik dat dit op de lange termijn meer goed dan kwaad zal doen. Ik moedig iedereen aan om dit verhaal te delen.”

Hij gaf ook aan dat het ging om een bijzonder geraffineerde phishingaanval die precies de juiste urgentie opriep – zonder overdrijven:

“… dit was een extreem goed gemaakte phish. Het speelde perfect in op mijn angst dat ik mijn nieuwsbrief niet meer zou kunnen versturen. Het schiep urgentie, maar zonder paniekvoetbal. Precies genoeg om me te laten handelen.”

Het voorval onderstreept opnieuw hoe geavanceerd phishing en andere cyberaanvallen tegenwoordig zijn geworden – en dat zelfs de experts niet immuun zijn.