Säkerhetsexperten Troy Hunt, känd bland annat för webbplatsen Have I been Pwned, har själv råkat ut för ett hack – närmare bestämt en phishing-attack.

Troy Hunt skriver i ett blogginlägg att han vaknade på tisdagsmorgonen och såg att han hade fått ett mejl som såg ut att komma från Mailchimp. Mejlet meddelade kort och gott att hans konto var tillfälligt begränsat efter ett klagomål om spam och att han därför inte kunde göra några mejlutskick. Han uppmanades gå till sitt konto och följa instruktioner där för att ta bort begränsningarna.

Han klickade på länken, fyllde i namn och lösenord manuellt när lösenordshanteraren inte kändes vid sajten och kopierade sedan och klistrade in TOTP-koden för att logga in. Men ingenting hände och plötsligt insåg Troy Hunt att han hade fallit för ett pishing-mejl. Han loggade då in på kontot och bytte lösenord, men var redan för sen. Inom en minut hade den automatiserade attacken loggat in och exporterat hela hans adresslista med 16 000 adresser.

Ironiskt nog var Troy Hunt i Storbritannien för samtal med brittiska cybersäkerhets­myndigheten NCSC om hur användandet av den naturligt phishing-resistenta tekniken nycklar (passkeys) kan uppmuntras. Att han själv just då föll för en phishing-attack är om inte annat ett bra argument för att verkligen vem som helst kan drabbas och att så många som möjligt borde börja logga in med nycklar istället.

Troy Hunt skriver att han var trött av jetlag efter att ha flugit till London från Australien och att mejlet var ovanligt välgjort – bedragarna använde rätt design, och texten var precis lagom alarmerande för att han skulle vilja åtgärda det påstådda problemet men inte så alarmerande att han blev misstänksam. Han hade dessutom inte kunnat följa sitt eget råd, då Mailchimp inte erbjuder inloggning med nyckel.

Efter attacken upptäckte Troy Hunt även en besynnerlig detalj i hur Mailchimp hanterar prenumeranter som har sagt upp sig från nyhetsbrev. Deras adresser sparas nämligen till synes på obestämd tid i en ”avprenumerade”-lista. I kommenterarna under blogginlägget ifrågasätter flera personer det lagliga i detta, särskilt för EU-medborgare.