חוקרים בחברת הסייבר גרדיו (Guardio) חשפו חולשת אבטחה חמורה המצויה ב-Proofpoint, חברת אבטחת מידע האחראית בין השאר על הגנת חברות ומותגים ידועים כגון דיסני, IBM, קוקה קולה וכן של 87 חברות מתוך רשימת 100 המובילות בעולם על פי Fortune. 

באמצעות חולשת האבטחה התוקפים הקימו מערך של שרתים, חשבונות Office365 ודומיינים שאיפשרו להם לעקוף את כל ההגנות ולשחרר לעולם מתקפת פישינג ברמה גבוהה, במסגרתה הם יכלו להעביר כל מייל שרצו דרך שרתי Proofpoint - מה שהוביל לכך שהם יחתמו ויאומתו בצורה מושלמת בזהות של אותן החברות.

למשל, החוקרים ראו כי התוקפים הצליחו להתחזות ל-Disney.com ושלחו מליוני מיילים תחת המותג של Disney+ המכילים הודעה כי החשבון פג תוקף וניתן לחדש אותו בעלות סמלית לכמה חודשים נוספים. על פי עמוד הפישינג, נראה כי הכנסת פרטי האשראי מובילה מיידית לחיוב של כמה עשרות דולרים וחיוב מחזורי של כ-200 דולר בחודש. 

החולשה נגרמה עקב בעיה שהתגלתה בשרתי Proofpoint. חשוב לציין כי לאחר חשיפת חולשת האבטחה, נעשתה פנייה לחברה ותוך זמן קצר החל מהלך משותף של מציאת מקור הבעיה, בחירת הפתרון הנכון והטמעה שלו.

ב-Proofpoint החלו לפנות לכל הלקוחות המעורבים ומתן עזרה מידית בטיפול מקומי בהגדרות התצורה אצלם, כאשר במקביל גרדיו פנתה לחברות המספקות את התשתיות של אותם גורמים עויינים על מנת לחסום ולהוריד את השרתים והדומיינים - ולמנוע את המשיך פעילות הפישינג שמתנהלת כבר מספר חודשים באין מפריע. 

נתי טל, Head of Guardio labs, מסר: ״החולשה הזו היא דוגמה מעולה לכך שפרטיות ואבטחה תלויה במידה רבה בחברות המספקות את השירות. שיתוף הפעולה בין החברות ולקיחת האחריות המהירה והאקטיבית של Proofpoint הם קריטיים בעולם אבטחת המידע של ימנו - בו תשתיות משמעותיות שבונות את העולם הדיגיטלי שלנו מופעלות ע״י חברות פרטיות - אך משרתות ומשפיעות על כלל משתמשי הרשת".

עוד הוסיף ואמר נתי טל: "האירוע הנ״ל רק ממחיש שוב את החשיבות של שיתוף הפעולה בקהילה, וכמה קריטית האחריות שיש לחברות הגדולות לא רק ללקוחותיהם, אלא לכלל המשתמשים בעולם".

תגובת חברת Proofpoint: "בחודש מרץ 2024, זיהו חוקרי חברת Proofpoint קמפיינים של דואר זבל (ספאם) אשר נשלחו באמצעות  כתובות הדואר האלקטרוני של מספר קטן של לקוחות החברה, המתארחים על תשתית Microsoft 365. מבדיקות שערכנו עלה כי הפעילות בוצעה על ידי גורם אחד, שאינו ישות מוכרת. מהרגע שזוהה קמפיין הספאם, פעלנו בדבקות על מנת לספק ללקוחות הוראות לתיקון המצב. במסגרת זאת, יישמנו ממשק ניהול יעיל אשר מציין אלו תיבות של לקוחות ספציפיים המתארחים על מיקרוסופט 365 מורשים לבצע העברה של דואר(relay) , בעוד כל השאר נדחים כברירת מחדל. קמפיינים אלה לא חשפו נתוני לקוחות של Proofpoint, ואף לקוח לא חווה אובדן נתונים כתוצאה מכך. 

"בסוף מאי, כאשר תהליך יצירת הקשר עם הלקוחות עדיין נמשך, Guardio Labs פנו לצוות האבטחה שלנו במייל. הם שיתפו מידע טכני שאפשר לנו לשחזר בצורה מדויקת יותר את הגדרת הrelay . לאחר מכן הם אישרו כי השינויים שהנחינו את לקוחותינו לבצע היו יעילים והובילו להפסקת השימוש לרעה בתצורת הrelay הזאת.

עוד ב-

עוקץ אכזרי בישראל: זייפו צוואות וגנבו מקשישים כ-6 מיליון שקל

לכתבה המלאה

"אקוסיסטם האבטחה בכללותו נהנה משיתוף פעולה ומתקשורת פתוחה בין צוותי מחקר וזיהוי איומים ברחבי העולם. אנו מעודדים חוקרי אבטחה ליצור עמנו קשר, לדווח על בעיות ולשתף ממצאים. מאז שגילינו את קמפיין הספאם במרץ, עבדנו בשיתוף פעולה עם מספר גורמי צד שלישי כדי לאמת את יעילות הפתרון שלנו כנגד ניצול לרעה של תצורת relay זאת. אנו מעריכים מאוד את התמיכה והמידע שקיבלנו מקהילת ספקי האבטחה והשירותים, בהם Guardio Labs."