Topic: Mailchimp suspende cuentas de (algunos) medio y empresas cripto (Read 111 times)

Lo que es la bomba son las 214 empresas de las cuales, supuestamente, han llegado a sacar los datos de sus clientes. El foco estaba en empresas cripto, aunque eso no quiere decir que la cifra total sea de ese ámbito. Tampoco es que sea novedad: Ya en abril de este año unos hackers accedieron a 300 cuentas de los ámbitos financiero y cripto, exportando los datos de los clientes de 102 corporaciones, entre ellas Trezor.

En principio, si a tu conocido no le han dicho nada, ni tiene la cuenta bloqueada, se supone que no está impactado por este nuevo hackeo. Claro que cualquiera se fía, pero formalmente tu conocido no tendrá que avisar a sus clientes del hecho.

En lo relativo a las TOS, las cambiaron de manera que fuesen más holgadas según parece:


De (15/08/2022):
https://web.archive.org/web/20220815080850/https://mailchimp.com/legal/acceptable_use/


A (16/08/2022):
https://web.archive.org/web/20220816085119/https://mailchimp.com/legal/acceptable_use

Voy a hablar con "conocimiento de parte" tengo un conocido que usa mailchimp y su negocio es relacionado a las cryptos, apenas leyeron esto guardaron e hicieron un backup de lo que tenian, pero asi todo ellos no se vieron afectados por esta medida, creo yo que de alguna manera han sacado a cuentas con una estrategia de marketing demasiado agresiva en las cuales uno sabe tal vez que son timos pero no puede por asi decirlo demostrarlo, y con un simple cambio en los TOS se las han sacadod e encima, tambien haciendo dar vuelta la noticia para que no muchos mas de ese estilo ronden por alli.

He aquí parte del misterio resuelto, a la vez que amplía un tanto la confusión:

En un comunicado reciente de Mailchimp, la compañía narra que el cierre de cuentas relacionadas con compañías de la criptoesfera se debe a una medida cautelar, y no se trata de una acción específica para cerrar cuentas de dicha compañía.

La precaución es consecuencia de haber detectado actividad sospechosa en las cuentas cerradas, pues podrían ser indicios de intentos de sustracción de información, notificando a las compañías en el proceso, aunque las investigaciones siguen en curso.

Lo que no cuentan es que ya hay compañías que están afirmando haber sufrido brechas de seguridad de sus datos en Mailchimp recientemente, como es el caso de DigitalOcean. La compañía afirma que algunos de sus clientes ya han visto como se intenta tomar el control de sus cuentas mediante el reseteo de contraseñas. Tambien indican que ya se han marchado de Mailchimp, y que, en todo caso, sólo se comprometió el email.

La confusión por tanto surge en conocer cuántas y qué cuentas corporativas han sido impactadas por lo que parece ya claro es una brecha de seguridad en Mailchimp. Luego tampoco ayuda a comprenderles en demasía que sus TOS no acepten trabajar con compañías del ámbito, aunque lo anuncian como "we may not allow businesses that offer these types of services, products, or content", lo cual es suficientemente ambiguo para aceptarlos o vetar su acceso a voluntad.

Edit:
Supuestamente, 214 cuentas Mailchimp (compañías) afectadas
Ver: https://www.techtarget.com/searchsecurity/news/252523911/Mailchimp-suffers-second-breach-in-4-months

Lo curioso es que, a pesar de que figuran clausulas en sus términos de uso de Mailchimp desde el 29/03/2018 según comenté en un post anterior (*), hay empresas de renombre notorias que las han utilizado desde entonces, y no es que sean nombres que se les pueda pasar por alto a los gestores de MailChimp.

Por ejemplo, Trezor se vio impactada por una brecha de datos de MailChimp a principios de este año (ver https://blog.trezor.io/details-of-the-mailchimp-data-breach-a06872caa1fd). El blog cita que se tuvo por objetivo obtener los datos de 200 compañías cripto. Vamos, que la cláusula se la pasan/pasaban por el forro unos y otros sin pudor.  

Por cierto, ahora que he leído la entrada en el blog de Trezor, cita como en el hackeo citado se obtuvieron datos de clientes (email, nombre, IP) suscritos a los comunicados, sino también a los que se habías desuscribido. Esto último es algo a saber, dado que al desuscribirnos, lo más probable es que meramente se marque un campo a tales efectos, sin que se borre el registro de datos.

(*) Basado en observar instancias archivadas de los términos en el hospedaje de TheWayBackMachine. No puedo garantizar que una clausula afín no estuviese en fechas previas, o que la hubiesen quitado durante algún periodo de tiempo (que lo dudo).

Pues qué quieres que te diga, ellos se lo pierden. Efectivamente, recuerda a Google en 2017/18...

Se trata de una discriminación en toda regla, y de una empresa que no se diferencia por sus altos estándares éticos precisamente: anda que no han ayudado a spammear mierdas durante años, y de repente ¿todo lo relacionado con criptomonedas está prohibido? Esta empresa no pertenecerá, muy en el fondo, a alguna entidad financiera tradicional a la que no le interesa este tema?

El tema es que muchas entidades no controlan bien la seguridad de sus entornos propios. A esto, añadamos la delegación (o duplicación) de responsabilidad que se ejerce al utilizar servicios basados en la nube, que no es otra cosa que lo que se hace al usar plataformas como MailChimp, Hubspot, Klaviyo y un largo etc. de plataformas de comunicación, mail márketing, automated márketing y gestión, siendo de las más utilizadas hoy en día la de Salesforce (Marketing Cloud).

Hay debilidades en todas partes: por un lado, los que autogestionan puede que no tengan los conocimientos para cuidar bien de su propia infraestructura, y los que delegan en plataformas tipo Cloud ven como éstas son golosas, dado que un hackeo o brecha de seguridad en éstas puede dar el acceso a múltiples clientes de varias empresas, como son los casos que hemos visto recientemente.

Uno pensaría que las empresas cripto, al ser tecnológicas de base, tendrían un buen dominio de situación de la seguridad, pero probablemente para poder correr más en un mundo muy dinámico, recurren a servicios de terceros para manejar los datos de sus cliente – sobre todo en acciones de márketing. Esto no es que esté mal de por sí, pero ensancha la apeticibilidad del marco Cloud para hackeos, tal y como hemos visto. Por otro lado, probablemente cree silos de información almacenados localmente, que también son potenciales riesgos (ej/ bajo los datos de mi instancia en la plataforma Cloud para realizar un análisis local de los datos).

Quizá sea mejor de esta forma, ya lo he dicho antes:  relegar una base de datos de correos de esta manera a un tercero como mailchimp no es sensato.

El hecho de que Trezor y otras cripto compañias de importancia lo hicieran en primer lugar, escapa de mi entendimiento. Por obvias razones, una lista de correos electrónicos de usuarios de criptomonedas vale más para los hackers que listas convencionales.

Quien sabe, quizá con la aplicación de estas normas por parte de Mailchimp, las compañias más serias se inclinarán por guardar ellos mismos los correos de sus subscriptores y debidamente encriptados (en caso de que los necesiten a largo plazo). Aunque no contaria con eso, quizá solo cambien de servicio, desgraciadamente.

He mirado en TheWayBackMachine, y la Política de uso aceptable lleva allí desde hace años.


De hecho, parece que la cláusula está desde el 29/03/2018:
https://web.archive.org/web/20180329173005/https://mailchimp.com/legal/acceptable_use/

El 28/03/2018 no figuraba:
https://web.archive.org/web/20180328164549/https://mailchimp.com/legal/acceptable_use/

(búsqueda dicotómica).

Realmente, las empresas crypto estaban avisadas, y supongo que hasta que Mailchimp no se dio cuenta, o les dio por no ser tan laxos, se permitía.

Al parecer esta es la última regla agregada a sus términos del servicio:

https://mailchimp.com/legal/acceptable_use/

Mailchimp es una empresa muy grande, y el que tome estas acciones en contra de las criptomonedas no se me hace algo aleatorio, no dudo que el gobierno esté detrás de esto. Pero hubiera estado bien que advirtieran a sus usuarios antes de el cierre de sus cuentas. Hacerlo de tajo fue muy poco profesional.

En este caso no hablamos de un robo de datos a una empresa de gestión de correos electrónicos como hemos visto recientemente, sino que la empresa, MailChimp, de modo propio, ha decidido cerrar las cuentas de algunos medios y empresas del ámbito de las criptomonedas.

Concretamente, se cita el cierre de las cuentas corporativas en la plataforma de Edge, Messari y Decrypt. De ellos, cuanto menos Messari y Decrypt vieron sus cuentas cerradas sin aviso previo, y sin poder acceder a las listas de sus clientes/suscriptores que allí se hospedan.

Un artista de NFTs vió como su cuenta fue suspendida al son de que "el contenido asociado a su sector entra en conflicto con nuestra Política de Uso Aceptable". Otro compañero de profesión recibió un correo en el cual se citaba que:

Lo anterior denota por dónde van los tiros, aunque parece una política un tanto arbitraria con exceso de celo, y sin un trasfondo amparado en ningún precepto legal. Parece Google en sus buenos tiempos ...

Ver: https://decrypt.co/es/107255/mailchimp-censura-medios-criptmonedas