Mailchimp victime de ransomware : 767 Mo de données et un gros soupir d’ennui

Le 31 juillet 2025, le groupe de ransomware Everest a revendiqué une “grande victoire” : l’exfiltration des données de Mailchimp, le célèbre service de newsletters.
Bilan ? 767 Mo de données, soit environ 943 536 lignes de CSV marketing.

En d’autres termes : l’équivalent d’une vieille clé USB de 2010 pour un retentissement maximal sur les réseaux sociaux de la cyber.

Et pourtant, ce petit incident raconte beaucoup de choses sur la sécurité des SaaS marketing… et sur notre tendance collective à s’enflammer pour des leaks qui ressemblent à un tableau Excel de stagiaire.

Les faits : un leak qui sent le CRM tiède

  • Date d’attaque : 26 juillet 2025 (revendication Everest)
  • Publication : 31 juillet 2025 sur les pages de leaks
  • Volume : 767 Mo
  • Nature des données :
    • Adresses emails
    • Domaines
    • Technologies utilisées
    • Pays associés

Pas de mots de passe, pas de cartes bancaires, pas de code source.
Juste de quoi nourrir des campagnes de phishing plus ou moins sophistiquées, ce qui est déjà embêtant… mais loin du cauchemar qu’implique un ransomware “classique”.

Pour les fans de cinéma cyber : on est plus proche d’un cambriolage de classeurs que d’un Ocean’s Eleven.

Pourquoi ce n’est pas catastrophique… mais tout de même gênant

Pour Mailchimp, ce leak est surtout un problème d’image.
Leurs clients sont des marketeurs qui vivent de la confiance et du taux de clic.
Or, dans les jours qui suivent un leak de ce genre :

  1. Les boîtes emails des clients vont chauffer :
    • Phishing “Mailchimp”
    • Tentatives de récupération de comptes via faux support
  2. Les clients professionnels vont se poser des questions :
    • “Mon CRM SaaS est-il vraiment sécurisé ?”
    • “Dois-je changer de fournisseur ou segmenter mes listes ?”
  3. Les RSSI vont soupirer :
    • “Encore un SaaS qui nous colle un plan de com’ vide et une politique MFA optionnelle…”

Bref, l’impact opérationnel est limité, mais l’impact sur la confiance est réel.
Les spammeurs, eux, vont s’en donner à cœur joie.

Le vrai problème : la banalisation du SaaS vulnérable

Si cet incident fait sourire, il rappelle une réalité :
beaucoup d’entreprises délèguent des données sensibles à des SaaS qui ne sont pas audités sérieusement.

Le triptyque classique :

  • SaaS marketing → accessible depuis Internet
  • Accès admin sans MFA → merci les phishing internes
  • Pas de cloisonnement des données → un export CSV traîne, et paf…

Ajoutez à ça le shadow IT marketing (un petit stagiaire qui teste un nouvel outil de newsletter “gratuit” avec des vrais contacts) et vous obtenez un cocktail parfait pour les ransomwares à faible valeur ajoutée.

Everest, comme d’autres groupes, a compris la recette :

  1. Infiltration rapide
  2. Récupération d’un export marketing
  3. “Opération communication” sur le dark web
  4. Et… c’est tout.

Les leçons à retenir pour les entreprises

  1. Activez le MFA partout, même sur des outils “non critiques”.
    • Parce que pour un spammeur, une base de contacts marketing, c’est de l’or.
  2. Cloisonnez vos données :
    • Séparez les exports marketing des CRM clients réels
    • Privilégiez des comptes limités pour les prestataires
  3. Sensibilisez vos équipes marketing :
    • Oui, le phishing Mailchimp va débarquer
    • Oui, cliquer, c’est mal (même pour télécharger une image de chat)
  4. Surveillez vos SaaS :
    • Suivez les flux de données
    • Ajoutez vos principaux outils à la cartographie de votre SI
    • Évaluez les risques comme pour une app métier interne

En gros : arrêtez de considérer que “ce n’est que du marketing”.
Pour un attaquant, c’est un vecteur d’entrée et un produit revendable.

Conclusion sarcastique : le CSV qui valait un zero-day

Le leak Mailchimp 2025 restera sans doute dans les annales… des leaks inutiles.
Pas de millions de dollars en rançon, pas de chaos mondial, juste un CSV XXL qui fera plaisir aux spammeurs.

Mais derrière ce petit incident se cache une leçon sérieuse :

Chaque SaaS externe est une extension de votre surface d’attaque.

Et si votre équipe marketing pense que la sécurité, “c’est pour les serveurs de prod”,
rappelez-leur qu’un tableau Excel de contacts peut aussi finir en poster sur le dark web

💡 En résumé pour les RSSI pressés :

  • Impact faible techniquement, fort en image
  • Risque principal = phishing massif
  • Action immédiate = MFA, monitoring, sensibilisation marketing
Mailchimp victime de ransomware : 767 Mo de données et un gros soupir d’ennui
Partager cet article : Twitter LinkedIn WhatsApp

🖋️ Publié sur SecuSlice.com

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Retour en haut