Security Week 08: взлом VFEMail в прямом эфире

    Новости о серьезных уязвимостях в софте и железе появляются каждую неделю. Только за последние семь дней сообщалось об эксплуатации XSS в социальной сети «Вконтакте», об устранении Zero-Day в Windows, а чуть раньше был закрыт баг в Android, позволяющий взламывать телефон подготовленной картинкой в формате PNG. Но мы довольно редко видим последствия эксплуатации этих уязвимостей: пострадавшие компании по понятным причинам не спешат делиться такой информацией. Еще реже можно наблюдать последствия атаки практически в прямом эфире, что на прошлой неделе произошло с почтовым сервисом VFEMail.

    Этот сервис был основан в 2001 году жителем США, и с тех пор обслуживал частных клиентов (бесплатно предлагал всего 50 мегабайт места для писем) и организации на их собственных доменах. В 2015 году он упоминался наряду с сервисом защищенной почты ProtonMail как жертва вымогателей — владелец сервиса цитировал требование организаторов DDoS-атаки выплатить пять биткойнов. 11 февраля без предварительных угроз злоумышленники стерли информацию на всех основных и резервных серверах VFEMail, буквально за несколько часов уничтожив бизнес компании почти полностью.

    В списке тарифов почтового сервиса самая дорогая опция предлагает 15 гигабайт (в другом месте сайта 20, показания расходятся) за 50 долларов в год — столько же, сколько Google Mail дает бесплатно. Либо однократный платеж в 25 долларов за 1 гигабайт почты навсегда. Принимается оплата в криптовалюте. VFEMail не позиционирует себя как защищенная почта, предлагая достаточно стандартные опции вроде фильтрации спама, проверки аттачей на вирусы и доступа из почтовых программ. И еще: «Мы не читаем ваши письма, чтобы продавать вам рекламу».


    В общем, это была такая почта для тех, кто сто лет назад завел почтовый ящик и с тех пор ленится переехать куда-то еще. Вполне работающая схема, если бы не события 11 февраля. Все началось с этого сообщения в Твиттере почтового сервиса: владелец заметил, что у него серьезные проблемы.


    Еще через два часа на одном из серверов владелец вживую увидел, как злоумышленник стирает данные:


    Почтовый сервис был атакован с болгарского IP, скорее всего с арендованной виртуальной машины. Еще через несколько минут стало понятно, что это был не единственный атакованный сервер:


    Спустя час основатель сервиса диагностирует, вероятно, полную потерю всех данных пользователей:


    Были атакованы сразу несколько серверов на разных площадках в разных странах. По словам владельца VFEMail, на серверах использовались разные способы и ключи авторизации, и тем не менее они были взломаны, с последующим уничтожением данных, практически одновременно. Через неделю даунтайма владельцу сервиса удалось восстановить один из серверов с данными по 2016 год:


    В комментарии сайту Bleeping Computer основатель и единственный владелец почтового сервиса Рик Ромеро сообщил, что угроз от кого-либо не получал, в отличие от ситуации с DDoS-атакой в 2015 году. Скорее всего, сервис восстановлен не будет, хотя позднее клиентам все же была обеспечена возможность принимать и отправлять почту, без доступа к архивным сообщениям за последние два с лишним года. Журналист Брайан Кребс в своем блоге приводит свидетельство корпоративного клиента VFEMail: десять лет почтовой переписки и более 60 тысяч сообщений было потеряно.


    Интересно, что на сайте VFEMail приводился аргумент в пользу стороннего почтового сервиса по сравнению с собственной почтой: так надежнее, обо всех настройках безопасности уже позаботились, и вам не нужно принимать входящие подключения в своей собственной сети.


    Все аргументы правильные, хотя в итоге «профессиональный» сервис пережил вполне пользовательскую катастрофу — когда уничтожена вся «включенная в сеть» инфраструктура и, скорее всего, отсутствуют оффлайновые резервные копии. В комментарии выше владелец сервиса приводит еще один довод в пользу отказа от восстановления: даже до взлома почтовая служба не была особо прибыльной. Удар по репутации, затраты на восстановление инфраструктуры, и главное — расходы на последующее резервирование данных и дополнительные средства защиты сделают бизнес и вовсе убыточным.

    В некотором смысле — жаль. VFEMail появился на закате романтической эпохи Интернета, когда нынешние гиганты представляли собой гаражные стартапы с наверняка похожим уровнем безопасности. Дальнейшее развитие кибератак сделало расходы на защиту неподъемными для всех, кто не успел стать достаточно большим. Хотя мы пока не знаем, как именно удалось взломать почтовый сервис (а возможно, не узнаем никогда), эта история — печальный пример, когда компания оказывается не готова ни отразить кибератаку, ни преодолеть ее последствия. И если с первым пунктом проблемы бывают и у крупнейших компаний, невозможность восстановиться после киберудара — это как раз та ситуация, которую стоит избегать всеми силами.

    Disclaimer: Мнения, изложенные в этом дайджесте, могут не всегда совпадать с официальной позицией «Лаборатории Касперского». Дорогая редакция вообще рекомендует относиться к любым мнениям со здоровым скептицизмом.
    «Лаборатория Касперского»
    431,00
    Ловим вирусы, исследуем угрозы, спасаем мир
    Поделиться публикацией

    Комментарии 5

      +1

      Сложно поверить, что делать бэкап раз в сутки в AWS Glacier такая дорогая и сложная задача для подобного сервиса, что его нельзя было настроить за столько лет.

        0
        Пугающе зашкаливающий уровень вандализма… Прям крайне интересен разбор полётов по вектору атаки, если он вообще когда-нибудь появится…
          0
          если там были разные методы авторизации, разные ключи…
          как их так сразу все поломали?

          Либо владельца похачили очень давно, и вытянули все ключи от всего… либо он сам задолбался и поудалял всё на хрен, представив дело как взлом )
            +2
            В очередной раз порадовался тому, что я — один из уже вымирающих динозавров, кто хранит локальный архив своей почты
              0
              Я тоже. И меня всегда удивляют люди, которые полностью доверяют свои данные онлайн сервисам. Причём, я с подозрением непониманием отношусь к почтовым сервисам, которые не разрешают работу с POP. IMAP я тоже не особо люблю в виду постоянной синхронизации с сервером — удалили письмо на сервере — удалилось и локально. Да, с этим протоколом, не нужно постоянно запрашивать новую почту — это делается автоматически, но мне это не сложно. Хотя, есть ещё и сервисы, которые вообще не разрешают получение почты сторонними клиентами — только работа онлайн. Аргументируется это особенностями шифрования.
              У меня был аккаунт на VFEmail, но уже давно не мог авторизоваться под своей учёткой. Благо, я ничего важного там не хранил. Точнее не успел. Завёл ящик как запасной для разного рода сервисов, которые требуют адрес и начинают закидывать рассылками, но он так и не понадобился. Писал в поддержку для восстановления учётки, но ответа так и не пришло и я забил на этот ящик.

            Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

            Самое читаемое