Кибербез без цензуры
Image

Кибербез без цензуры

Погружаемся в серые схемы и даркнет, чтобы показать вам изнанку цифрового мира без купюр и морали.

Сотни писем в час и никакой защиты. Zendesk стал главным спам-инструментом января

leer en español

Zendesk Dropbox Discord 2K спам уязвимость поддержка
Сотни писем в час и никакой защиты. Zendesk стал главным спам-инструментом января
Zendesk Dropbox Discord 2K спам уязвимость поддержка

Неизвестные устроили массовый переполох, не взломав ни одного аккаунта.

image

С середины января пользователи по всему миру начали массово жаловаться на поток странных сообщений, поступающих на электронную почту. Причиной стала уязвимость в системе клиентской поддержки Zendesk, которую злоумышленники превратили в инструмент для рассылки спама.

Первая волна сообщений была зафиксирована 18 января. Получатели отмечали, что на их адреса приходят сотни писем с пугающими или просто абсурдными темами — от «СРОЧНОГО ЗАПРОСА ОТ ПРАВООХРАНИТЕЛЬНЫХ ОРГАНОВ» до «БЕСПЛАТНЫЙ DISCORD NITRO!!» или «ПОМОГИТЕ!».

В некоторых темах использовались декоративные символы на разных языках, что делало сообщения ещё более хаотичными. Несмотря на это, вредоносных ссылок или попыток фишинга в письмах не обнаружено — их цель, вероятно, сводилась к дезориентации и раздражению получателей.

Суть атаки в том, что система Zendesk позволяет отправлять обращения без подтверждения адреса электронной почты. Этим воспользовались неизвестные, заполнив формы поддержки от имени случайных адресатов. В ответ сервис автоматически отсылает уведомление о получении заявки — именно такие письма и приходили пользователям. Автоматизация и отсутствие ограничений дали возможность запускать массовую рассылку за счёт легитимных систем поддержки.

Под удар попали клиенты десятков компаний, включая Discord, Tinder, Riot Games, Dropbox, CD Projekt, Maya Mobile, NordVPN, а также департамент труда и налоговая служба штата Теннесси, образовательная платформа Kahoot, сервис медитации Headspace и прокат самокатов Lime. Некоторые организации, в том числе Dropbox и 2K, уже подтвердили факт инцидента и уведомили пользователей, что причин для беспокойства нет.

В частности, в 2K пояснили, что их система поддержки позволяет оставлять обращения без регистрации и подтверждения почты, чтобы упростить обратную связь. Однако добавили, что без верификации не рассматривают запросы, связанные с аккаунтами и конфиденциальными данными.

Zendesk уже внедрила дополнительные механизмы защиты. В компании сообщили, что усилили мониторинг активности и ввели ограничения, помогающие быстрее выявлять попытки спам-рассылки. Также напомнили, что администраторы могут сами ограничить создание обращений, разрешив его только подтверждённым пользователям и убрав возможность указывать произвольные темы и адреса.