ანდრეი კეინომ, ღია კოდის პროექტის, Kaneo-ს შემქმნელმა, საკუთარ ბლოგზე უსიამოვნო აღმოჩენის შესახებ ისაუბრა. მისმა პლატფორმამ, რომელიც პროექტების მართვას ემსახურება, უნებლიედ 14 520 ფიშინგ-შეტყობინება დააგზავნა. ინციდენტი მაშინ გახდა ცნობილი, როდესაც ელექტრონული ფოსტის გამგზავნი სერვისის, Resend-ის კვოტა ამოიწურა.

როგორ მოხდა შეტევა?

თავდამსხმელებმა არ გამოიყენეს ტექნიკური ექსპლოიტი ან სისტემური მოწყვლადობა. მათ პლატფორმის დიზაინი გამოიყენეს ისე, როგორც ის ჩაფიქრებული იყო. კერძოდ, რამდენიმე საათის განმავლობაში მათ 942 ყალბი ანგარიში შექმნეს, თითოეულმა მათგანმა კი ახალი „სამუშაო სივრცე“ (workspace) გახსნა.

სამუშაო სივრცეების სახელები თავად იყო ფიშინგ-შეტყობინების სათაურები, მაგალითად: „Paul Brown from BANKING OPERATION invited you to join 3.4090_BTC receipt“. ეს წერილები Kaneo-ს დამოწმებული დომენიდან იგზავნებოდა, რაც მათ მაღალ სანდოობას ანიჭებდა და მომხმარებლებს რეალურ საიტზე გადასვლისკენ უბიძგებდა.

რატომ ვერ შეაჩერეს თავდამსხმელები დროულად?

შემქმნელის თქმით, სისტემას არ ჰქონდა ისეთი დამცავი მექანიზმები, როგორიცაა CAPTCHA, ერთჯერადი ელფოსტის მისამართების ბლოკირება ან ლიმიტები მოწვევების გაგზავნაზე. დეველოპერი პროექტს მხოლოდ ლეგიტიმური მომხმარებლების პერსპექტივიდან უყურებდა და არა თავდამსხმელების, რომლებსაც საკუთარი რეპუტაციის მქონე სერვერის გამოყენება სურდათ.

„მე ვფიქრობდი cloud.kaneo.app-ზე როგორც მარტივ სერვისზე, თუმცა რეალურად ეს იყო ინფრასტრუქტურა, რომელსაც უცხო პირები ჩემი რეპუტაციით იყენებდნენ,“ — წერს ავტორი. მან ინციდენტის შემდეგ სასწრაფოდ გააუქმა წვდომის კლავიშები, წაშალა ბოტი ანგარიშები და დანერგა უსაფრთხოების ახალი ფენები.

რა გაკვეთილი ისწავლა დეველოპერმა?

ინციდენტის შემდეგ Kaneo-ში დაემატა რეგისტრაციის დაცვა, დროებითი ფოსტის დომენების აკრძალვა და მოწვევების გაგზავნის შეზღუდვები. მნიშვნელოვანია, რომ ეს ცვლილებები არ შეეხო მათ, ვინც პროგრამას საკუთარ სერვერზე (self-hosted) უშვებს, რადგან მათთვის ასეთი საფრთხეები ნაკლებად აქტუალურია.

ეს შემთხვევა კიდევ ერთხელ უსვამს ხაზს ღია კოდის პროექტების „ღრუბლოვანი“ ვერსიების მართვის სირთულეს. როდესაც დეველოპერი სერვისს უცხო პირებს სთავაზობს, ის ხდება პასუხისმგებელი იმ ქმედებებზე, რასაც მომხმარებლები პლატფორმის გამოყენებით ახორციელებენ.