Oficjalne stanowisko w sprawie incydentu bezpieczeństwa z dnia 24 lutego 2020

W dniu 24 lutego 2020 r. w godzinach nocnych wykryliśmy na części kont dziwną aktywność. Po dokładnym przeanalizowaniu okazało się, że ktoś próbował zalogować się do systemu FreshMail, używając prawdopodobnie wykradzionej z innego serwisu bazy adresów mailowych (loginów) oraz przypisanych do nich haseł.

Jak wyglądał atak?

Logowania do systemu FreshMail były pojedyncze, co oznacza, że po nieudanym logowaniu nie nastąpiła ponowna próba logowania przy użyciu tych samych danych. W przypadku kilkukrotnych logowań na to samo konto przy użyciu błędnego hasła FreshMail automatycznie blokuje takie konto w celu przeciwdziałania nadużyciom i przestępstwom. Niestety taka sytuacja w tym przypadku nie miała miejsca - logowania były realizowane przez rozproszony botnet przy użyciu ponad 2000 adresów IP.

Finalnie, w wyniku ponad 1 000 000 prób logowania, autorowi ataku udało się dostać na 26 kont naszych klientów. Oznacza to, że 26 naszych klientów posiadało login i hasło, które wykorzystywali również w innych serwisach. Taki login i hasło trafiły do bazy, która wyciekła z innego serwisu, przez co autorowi ataku udało się dostać na konto danego użytkownika we FreshMailu. 

Po dostaniu się na konta, autor ataku wykonał następujące operacje:

• na 8 kontach dokonał wysyłki SPAMu z linkiem przekierowującym do archiwum ZIP, które zawierało złośliwe oprogramowanie;
• na 2 kontach dokonał eksportu baz adresowych; 
• na 5 kontach dokonał importu zewnętrznych baz adresów.

Kroki, które podjął FreshMail po wykryciu incydentu

FreshMail natychmiast po wykryciu incydentu uruchomił procedury mające zabezpieczyć klientów przed poniesieniem dodatkowych strat. Dla niektórych z nich nasze działania wydały się przesadzone - jednak bez względu na wszystko wierzymy, że naszym najważniejszym obowiązkiem jest chronić dane klientów FreshMaila.

W ramach naszych działań przeprowadziliśmy szereg akcji.

Od strony technicznej:

• Wymusiliśmy zmianę haseł wszystkich użytkowników systemu FreshMail Jednocześnie przypominamy, że hasło ustawiane w systemie powinno być odpowiednio mocne:
  • być unikatowe;
  • zawierać co najmniej 8 znaków;
  • zawierać duże i małe litery;
  • zawierać cyfry i znaki specjalne.
• zresetowaliśmy klucze API na kontach, które zostały dotknięte atakiem;
• zablokowaliśmy endpoint w API, przy użyciu którego można dokonać logowania za pomocą loginu i hasła;
• tymczasowo wyłączyliśmy możliwość logowania do aplikacji FreshMail Hello i FreshForm;
• wprowadziliśmy mechanizm reCaptchy na stronie logowania w celu obrony przed używaniem botnetu do logowania.

W celach dowodowych:

• zabezpieczyliśmy logi dotyczące feralnych zdarzeń;
• skontaktowaliśmy się z wszystkimi stronami pośrednimi (operatorzy płatności) w sprawie zabezpieczenia ich logów.

Komunikacja:

• poinformowaliśmy mailowo wszystkich klientów FreshMaila o konieczności zresetowania hasła;
• wysłaliśmy do 26 klientów, u których wykryliśmy incydent, informację w zakresie dokładnych zdarzeń wraz z dokumentacją techniczną niezbędną do zgłoszenia w UODO.

Dodatkowe działania:

• wystąpiliśmy do rejestratora domeny, do której odsyłał feralny link z żądaniem zablokowania usługi (zablokowania domeny);
• zgłosiliśmy adresy domen zawierajace niebezpieczny załącznik do Google (https://safebrowsing.google.com/) - powinno to spowodować automatyczny alert dla osób, które używają Google Chrome i będą chciały pobrać ww. załącznik.

Planowane działania:

• zgłoszenie incydentu do UODO (do końca bieżącego tygodnia, tj. 28.02.2020 r.); 
• zgłoszenie incydentu na Policję (do końca bieżącego tygodnia, tj. 28.02.2020 r.);
• wprowadzenie mechanizmu 2FA (podwójnego uwierzytelniania) dla klientów FreshMaila (w ciągu najbliższych 2 tygodni);
• edukacja w zakresie standardów bezpieczeństwa klientów FreshMaila.

Podsumowanie

Mam nadzieję, że powyższy case będzie przestrogą dla wszystkich, którzy mało roztropnie podchodzą do bezpieczeństwa swoich danych. Na szczęście, mimo olbrzymiego rozmachu ataku, dotknął on zaledwie ułamka procenta użytkowników FreshMaila.

FreshMail od początku istnienia podchodzi bardzo restrykcyjnie do kwestii związanych z ochroną danych osobowych. Dlatego od zawsze wolimy działać zapobiegawczo niż pozwolić na to, by dane naszych klientów mogły być zagrożone.