Хабрахабр

Security Week 08: взлом VFEMail в прямом эфире

Новости о серьезных уязвимостях в софте и железе появляются каждую неделю. Только за последние семь дней сообщалось об эксплуатации XSS в социальной сети «Вконтакте», об устранении Zero-Day в Windows, а чуть раньше был закрыт баг в Android, позволяющий взламывать телефон подготовленной картинкой в формате PNG. Но мы довольно редко видим последствия эксплуатации этих уязвимостей: пострадавшие компании по понятным причинам не спешат делиться такой информацией. Еще реже можно наблюдать последствия атаки практически в прямом эфире, что на прошлой неделе произошло с почтовым сервисом VFEMail.

В 2015 году он упоминался наряду с сервисом защищенной почты ProtonMail как жертва вымогателей — владелец сервиса цитировал требование организаторов DDoS-атаки выплатить пять биткойнов. Этот сервис был основан в 2001 году жителем США, и с тех пор обслуживал частных клиентов (бесплатно предлагал всего 50 мегабайт места для писем) и организации на их собственных доменах. Либо однократный платеж в 25 долларов за 1 гигабайт почты навсегда. 11 февраля без предварительных угроз злоумышленники стерли информацию на всех основных и резервных серверах VFEMail, буквально за несколько часов уничтожив бизнес компании почти полностью.
В списке тарифов почтового сервиса самая дорогая опция предлагает 15 гигабайт (в другом месте сайта 20, показания расходятся) за 50 долларов в год — столько же, сколько Google Mail дает бесплатно. VFEMail не позиционирует себя как защищенная почта, предлагая достаточно стандартные опции вроде фильтрации спама, проверки аттачей на вирусы и доступа из почтовых программ. Принимается оплата в криптовалюте. И еще: «Мы не читаем ваши письма, чтобы продавать вам рекламу».

В общем, это была такая почта для тех, кто сто лет назад завел почтовый ящик и с тех пор ленится переехать куда-то еще. Вполне работающая схема, если бы не события 11 февраля. Все началось с этого сообщения в Твиттере почтового сервиса: владелец заметил, что у него серьезные проблемы.

Еще через два часа на одном из серверов владелец вживую увидел, как злоумышленник стирает данные:

Почтовый сервис был атакован с болгарского IP, скорее всего с арендованной виртуальной машины. Еще через несколько минут стало понятно, что это был не единственный атакованный сервер:

Спустя час основатель сервиса диагностирует, вероятно, полную потерю всех данных пользователей:

Были атакованы сразу несколько серверов на разных площадках в разных странах. По словам владельца VFEMail, на серверах использовались разные способы и ключи авторизации, и тем не менее они были взломаны, с последующим уничтожением данных, практически одновременно. Через неделю даунтайма владельцу сервиса удалось восстановить один из серверов с данными по 2016 год:

В комментарии сайту Bleeping Computer основатель и единственный владелец почтового сервиса Рик Ромеро сообщил, что угроз от кого-либо не получал, в отличие от ситуации с DDoS-атакой в 2015 году. Скорее всего, сервис восстановлен не будет, хотя позднее клиентам все же была обеспечена возможность принимать и отправлять почту, без доступа к архивным сообщениям за последние два с лишним года. Журналист Брайан Кребс в своем блоге приводит свидетельство корпоративного клиента VFEMail: десять лет почтовой переписки и более 60 тысяч сообщений было потеряно.

Интересно, что на сайте VFEMail приводился аргумент в пользу стороннего почтового сервиса по сравнению с собственной почтой: так надежнее, обо всех настройках безопасности уже позаботились, и вам не нужно принимать входящие подключения в своей собственной сети.

Все аргументы правильные, хотя в итоге «профессиональный» сервис пережил вполне пользовательскую катастрофу — когда уничтожена вся «включенная в сеть» инфраструктура и, скорее всего, отсутствуют оффлайновые резервные копии. В комментарии выше владелец сервиса приводит еще один довод в пользу отказа от восстановления: даже до взлома почтовая служба не была особо прибыльной. Удар по репутации, затраты на восстановление инфраструктуры, и главное — расходы на последующее резервирование данных и дополнительные средства защиты сделают бизнес и вовсе убыточным.

VFEMail появился на закате романтической эпохи Интернета, когда нынешние гиганты представляли собой гаражные стартапы с наверняка похожим уровнем безопасности. В некотором смысле — жаль. Хотя мы пока не знаем, как именно удалось взломать почтовый сервис (а возможно, не узнаем никогда), эта история — печальный пример, когда компания оказывается не готова ни отразить кибератаку, ни преодолеть ее последствия. Дальнейшее развитие кибератак сделало расходы на защиту неподъемными для всех, кто не успел стать достаточно большим. И если с первым пунктом проблемы бывают и у крупнейших компаний, невозможность восстановиться после киберудара — это как раз та ситуация, которую стоит избегать всеми силами.

Дорогая редакция вообще рекомендует относиться к любым мнениям со здоровым скептицизмом. Disclaimer: Мнения, изложенные в этом дайджесте, могут не всегда совпадать с официальной позицией «Лаборатории Касперского».

Теги
Показать больше

Похожие статьи

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»
Закрыть