Интересно Сотни писем в час и никакой защиты. Zendesk стал главным спам-инструментом января.

Admin

Admin

Администратор

Сотни писем в час и никакой защиты. Zendesk стал главным спам-инструментом января.


1769119107560

Неизвестные устроили массовый переполох, не взломав ни одного аккаунта.


С середины января пользователи по всему миру начали массово жаловаться на поток странных сообщений, поступающих на электронную почту. Причиной стала уязвимость в системе клиентской поддержки Zendesk, которую злоумышленники превратили в инструмент для рассылки спама.

Первая волна сообщений была зафиксирована 18 января. Получатели отмечали, что на их адреса приходят сотни писем с пугающими или просто абсурдными темами — от «СРОЧНОГО ЗАПРОСА ОТ ПРАВООХРАНИТЕЛЬНЫХ ОРГАНОВ» до «БЕСПЛАТНЫЙ DISCORD NITRO!!» или «ПОМОГИТЕ!».

1769118805699


В некоторых темах использовались декоративные символы на разных языках, что делало сообщения ещё более хаотичными. Несмотря на это, вредоносных ссылок или попыток фишинга в письмах не обнаружено — их цель, вероятно, сводилась к дезориентации и раздражению получателей.

Суть атаки в том, что система Zendesk позволяет отправлять обращения без подтверждения адреса электронной почты. Этим воспользовались неизвестные, заполнив формы поддержки от имени случайных адресатов. В ответ сервис автоматически отсылает уведомление о получении заявки — именно такие письма и приходили пользователям. Автоматизация и отсутствие ограничений дали возможность запускать массовую рассылку за счёт легитимных систем поддержки.

Под удар попали клиенты десятков компаний, включая Discord, Tinder, Riot Games, Dropbox, CD Projekt, Maya Mobile, NordVPN, а также департамент труда и налоговая служба штата Теннесси, образовательная платформа Kahoot, сервис медитации Headspace и прокат самокатов Lime. Некоторые организации, в том числе Dropbox и 2K, уже подтвердили факт инцидента и уведомили пользователей, что причин для беспокойства нет.

В частности, в 2K пояснили, что их система поддержки позволяет оставлять обращения без регистрации и подтверждения почты, чтобы упростить обратную связь. Однако добавили, что без верификации не рассматривают запросы, связанные с аккаунтами и конфиденциальными данными.

Zendesk уже внедрила дополнительные механизмы защиты. В компании сообщили, что усилили мониторинг активности и ввели ограничения, помогающие быстрее выявлять попытки спам-рассылки. Также напомнили, что администраторы могут сами ограничить создание обращений, разрешив его только подтверждённым пользователям и убрав возможность указывать произвольные темы и адреса.
 
Для ответа нужно войти/зарегистрироваться
Похожие темы
Admin Интересно Первый Patch Tuesday 2026: больше сотни уязвимостей в Windows, 3 zero-day, 8 критических — обновляйтесь немедленно. Новости в сети 0
Support81 DNS-атака на DeFi: сотни протоколов оказались под угрозой взлома Новости в сети 0
Support81 Сотни миллионов на кону: MorLock держит в страхе российский бизнес Новости в сети 0
turbion0 Мошенник украл сотни тысяч шекелей, выдавая себя за известных людей. Новости в сети 0
Support81 На Украине задержаны лидеры вымогательской банды, державшие в страхе сотни мировых корпораций Новости в сети 0
C [Слив] Буржуазный арбитраж трафика сотни $ в день (2020) Способы заработка 0
Sasha3108 Bounty на сотни долларов Способы заработка 3
X Как зарабатывать сотни долларов ежедневно на дейтинг-партнерках? Способы заработка 5
Support81 Хакеры осваивают искусственный интеллект: новый FraudGPT идеально подходит для написания фишинговых писем Новости в сети 0
P Проверено Создание HTML-писем/Рандомизация текста | Creating HTML-letters/Text Randomization Услуги дизайнеров и веб-разработчиков. 0
G Массовая рассылка писем - до 10тыс/день (скрипт + сервис) Способы заработка 3
V Убить заголовки писем Свободное общение 0
АнАлЬнАя ЧуПаКаБрА Mail Checker + Поиск писем | #Losenkov Готовый софт 0
Support81 Непальский хакер возглавил Зал славы, взломав Facebook за 1 час Новости в сети 0
adflak Aéza — облачные серверы от 0.82р/час с AntiDDoS. Попробуйте бесплатно! Доступы: RDP, VPS, SQL inj, базы, сайты, shell's 0
B Создание чат-ботов без программирования за 1 час Готовый софт 0
K Курс «Создание чат-ботов без программирования за 1 час» Раздачи и сливы 1
АнАлЬнАя ЧуПаКаБрА [Private Keeper] Brute на "заработай 500$ за час" Готовый софт 0
M ЗАРАБОТОК ПО 5-10 $ В ЧАС И БОЛЕЕ. Способы заработка 4
M Заработок ~ 200р за час + Баг ВК Способы заработка 2

Название темы