Datos de clientes cripto de Klaviyo comprometidos

[DdmrDdmr]

De manera análoga al caso citado aquí, donde unas 30 cuentas de Hubspot se vieron implicadas en una brecha de seguridad (1 cuenta -> es un cliente corporativo -> n clientes finales) mediante el acceso a las credenciales de un empleado, tenemos ahora el caso Klaviyo.

Klaviyo se dedica el email/sms marketing en nombre de compañías, y es utilizada por éstas para la gestión de sus campañas y contactos con sus bases de clientes cuando, por ejemplo, carecen de plataforma propia.

El caso es que unos hackers han accedido a 44 cuentas corporativas de Klaviyo, descargándose los datos personales de clientes finales para 38 de estas cuentas (lo cual supone miles de clientes finales). Los datos descargados son relativos al nombre, número de teléfono, email y obviamente el cliente corporativo entre otros. Dado principal se ha puesto sobre clientes de compañías del ámbito cripto, es de esperar que hayan intentos de phishing por correo y/o sms en breve.

Como es habitual, no conocemos la lista de clientes corporativos impactados (ellos sí), y son éstos los que han de ver cuándo y cómo comunicar los hechos a sus clientes finales.

Mientras tanto, on guard …

  Ver:
https://www.bleepingcomputer.com/news/security/email-marketing-firm-hacked-to-steal-crypto-focused-mailing-lists/
https://bitcointalk.org/index.php?topic=5409325.msg60725826#msg60725826

[Porfirii]

Eso sí, luego se impulsa una política de Know Your Customer para todo, y a cambio de evitar un porcentaje mínimo de blanqueo y financiación del terrorismo, se fomenta la cesión indiscriminada de datos a compañías de dudosa seriedad o, incluso siendo serias, siempre potencialmente vulnerables.

Por lo que comentas, los hackers sabían lo que hacían pues se han enfocado en unas pocas cuentas corporativas que les ofrecen un gran abanico de datos... pues nada, habrá que extremar la vigilancia (es ya una costumbre).

[womanderful]

pues nada, habrá que extremar la vigilancia (es ya una costumbre).

No tenemos nada que extremar. "O te bajas las bragas, o no te quiero como cliente mío".

La respuesta es: "de acuerdo, pues no seré cliente tuyo". Hay casos donde es impepinable pero para todo lo demás…

[Porfirii]

El problema está en que, en muchas ocasiones, un servicio de uso "libre", de la noche a la mañana, para supuestamente amoldarse a la legalidad vigente, te exige hacer el KYC so pena de no poder acceder a tus recursos (criptomonedas, archivos, publicaciones, perfiles...).

Lo que tú dices, con algunos servicios no queda otra, pero a la inmensa mayoría que hacen esto, entono el "qué lástima pero adiós". Binance es el ejemplo más claro.

[DdmrDdmr]

Lo que probablemente no seamos conscientes es de que muchas de estas entidades del ámbito cripto (o fuera del mismo) no realizan el envío de los correos electrónicos y sms desde su propia plataforma, sino que utilizan plataformas de terceros para estas tareas del estilo de Hubspot y Klaviyo. Es decir, un subconjunto de datos trasciende el entorno corporativo para ser cargado en estas plataformas, aumentando por tanto las posibilidades de incidencias sin que uno sea realmente no consciente (en las TOS puede haber algo que lo cubra, en general expresado de manera muy vaga relativo a terceros necesarios para cubrir el desarrollo de las actividades necesarias del negocio).

En el caso de Klaviyo, he visto que recomiendan a sus clientes corporativos activar el 2FA en su cuenta, aunque tengo serias dudas que las cuentas de empleados de Klaviyo no puedan saltarse este parámetro de seguridad, con lo cual estaríamos en las mismas. De hecho, me planteo si las propias cuentas de los empleados usan 2FA para empezar (lo suyo sería que sí, así como que accediesen por VPN si están en remoto también mediante 2FA – son aspectos mitigadores de filtraciones, que no erradicadores a ciencia cierta).

[Porfirii]

El uso de VPN tampoco es una garantía para la totalidad de los casos: tienes que fiarte del proveedor de la red virtual, hasta cierto punto, porque si no estamos en las mismas, se escapa de nuestro control a quién cedemos nuestros datos y dónde pueden ir a parar.

Algo hay que inventar, una identidad cifrada o alguna historia similar, porque si no menudo futuro nos espera. Esto no ha hecho más que empezar.

[DdmrDdmr]

Esta es una de las compañías afectadas por este robo de datos: Swan Crypto. Swan Crypto ha remitido un correo a los suscriptores de sus listas de información, indicándoles que los datos comprometidos, en su caso, son el nombre de pila, el correo electrónico, los datos de geolocalización derivados de la IP (en ciertos casos), y cómo la persona se unió a la lista informativa (el canal). No obstante, también indica que, adicionalmente, el 0,3% de los registros también tienen cierta información relativa a los depósitos históricos realizados en la entidad en USD, a fecha de justo antes de marzo 2022.

Esto añade algo más de visibilidad respecto de este robo de datos, y aunque parecía limitado a datos de contacto para acciones de márketing, vemos que también parece que pueden haber campos exportados propios del negocio, utilizados para la segmentación de campañas (como es el caso del saldo de depósitos en USD). Esto supone que en cada cliente (corporación) impactado, podrían haber datos de cierta delicadeza adicional en relación a los propios de contacto de los clientes finales.


Esto también es interesante:

The data leak at Klaviyo also comes hot on the heels of reports that another popular email marketing platform Mailchimp has been suspending the accounts of crypto-related content creators and media outlets.

The affected businesses include the likes of self-custody crypto wallet Edge, crypto intelligence firm Messari, and Decrypt, as the developments once again highlighted the yet-to-be-resolved reliance of Web3 companies on legacy Web2 solutions.

Ver: https://decrypt.co/107236/swan-bitcoin-discloses-data-leak-due-phishing-attack-newsletter-provider

No me queda claro aún si los clientes citados en el segndo párrafo son de MailChimp o Klaviyo (por la construcción de las frases), aunque me da que son de Klaviyo.


Edit: El párrafo anterior es respecto de MailChimp (así que Edge, Messari y Decrypt no están impactados por el incidente de Klaviyo):
https://decrypt.co/107099/intuit-owned-mailchimp-is-banning-crypto-content-creators

[DdmrDdmr]

Por cierto, que el único caso que conocemos por ahora, Swan Crypto, también se vió involucrado en un incidente muy similar en marzo de este año con Hubspot como proveedor. Doblemente apaleados …

Lo que me extraña es que habiendo pasado ya prácticamente una semana, aún no tengamos los nombre de la mayor parte de las empresas afectadas por el robo de datos de Klaviyo. Lo protocolario es que Klaviyo lo comunique a las empresas afectadas, y éstas a sus clientes impactados, y éstos a su vez dejen constancia en las redes sociales por lo cual nos enteramos todos a la postre.

El hecho de que pase el tiempo y no se sepan más nombres hace sospechar de que se está perdiendo cierto tiempo en los comunicados a los clientes impactados, tiempo que para algunos puede ser vital. Que menos que saber con diligencia que los datos de uno están en manos de unos hackers, a fin de poder estar atentos a las jugadas derivadas.