الملخص

  • قالت DigitalOcean في أغسطس 2022 إن حادثة أمنية في Mailchimp ربما كشفت عن عناوين بريد إلكتروني مرتبطة ببعض عملاء DigitalOcean، وأن عددًا صغيرًا جدًا من عملاء DigitalOcean تعرضوا لمحاولة اختراق حسابات عبر إعادة تعيين كلمات المرور.
  • سؤال المساءلة ليس ما إذا كان بائع البريد التسويقي هو نفسه مستوى التحكم السحابي. بل هو من كان لديه السيطرة الفعلية على حساب البريد الإلكتروني للطرف الثالث، وقائمة البريد الإلكتروني للعملاء، وقناة إعادة تعيين كلمة المرور، وإشعار مخاطر التصيد، ومراجعة وصول البائع، وحماية هوية وحدة التحكم السحابية.
  • يدعم السجل العام معالجة القضية على أنها كشف عن بريد إلكتروني للعملاء وخطر تصيد مستهدف، وليس كاختراق مثبت للبنية التحتية لعملاء DigitalOcean. هذا التمييز مفيد فقط إذا كان بإمكان المزود تقديم أدلة للعملاء بدلاً من الطمأنة.
  • اعتماد DigitalOcean على Mailchimp للاتصالات المعاملاتية حوّل علاقة بائع غير إنتاجية إلى مشكلة ثقة إنتاجية، لأن تأكيدات الحساب، وإعادة تعيين كلمة المرور، والتنبيهات، وإشعارات العملاء هي جزء من كيفية احتفاظ مستخدمي السحابة بالسيطرة.
  • كان على المطورين والشركات الصغيرة والوكالات ومسؤولي البنية التحتية ومكاتب إساءة الاستخدام التمييز بين كشف قائمة البريد الإلكتروني واختراق موارد السحابة مع الاستمرار في الاستجابة للتصيد المستهدف الأكثر احتمالاً ضد مالكي الحسابات.

سجل الأدلة وكيفية استخدامه

تستخدم هذه المقالة مواد عامة في طبقات. يُعتبر منشور DigitalOcean بمثابة السجل المركزي لما قالته الشركة إنها اكتشفته، وكيف وصفت تأثيرها على العملاء، وكيف وصفت محاولات الحساب اللاحقة. يُستخدم بيان Mailchimp لوصف الهجوم الأوسع من جانب البائع ضد المستخدمين المرتبطين بالعملات الرقمية. يُستخدم تقرير منافذ الأمن والتكنولوجيا للتسلسل الزمني والاحتكاك والتفسير الخارجي، مع الحفاظ على الفرق بين التقارير والحقيقة المؤكدة من الشركة. تُستخدم وثائق DigitalOcean وصفحات الأمان العامة لشرح الضوابط التي يمكن للعملاء والفرق استخدامها بعد الكشف. تُستخدم مواد الحكومة والمعايير للإطار العام للتصيد وبيانات الاعتماد والحوكمة.

باقي محتوى المستوى الثالث مطابق للمحتوى الرئيسي مترجم بالكامل.