FSF พยายามติดต่อ Google หลังเกิดปัญหาส่งอีเมลสแปมมากกว่า 10,000 ฉบับจากบัญชี Gmail

 (daedal.io)
1 คะแนน โดย GN⁺ 12 일 전 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • Free Software Foundation (FSF) ยืนยันว่ามีการส่งอีเมลสแปมจำนวนมากผ่านบัญชี Gmail
  • มีรายงานว่ามีการส่งอีเมลจากบัญชีดังกล่าว มากกว่า 10,000 ฉบับ
  • FSF กำลัง พยายามติดต่อ Google โดยตรง เพื่อแก้ไขปัญหา
  • เบื้องต้นพบว่าผู้ส่งสแปมใช้ Gmail ส่งอีเมลในนามของ FSF
  • กรณีนี้ทำให้ ความน่าเชื่อถือขององค์กรโอเพนซอร์สและความสำคัญของการดูแลความปลอดภัยอีเมล ถูกจับตามองอีกครั้ง

ภาพรวมของเหตุการณ์

  • FSF ยืนยันเหตุการณ์ที่บัญชี Gmail ถูกนำไปใช้ในทางที่ผิดเพื่อ ส่งอีเมลสแปมจำนวนมาก
  • เนื่องจากเป็นการส่งผ่าน Gmail ไม่ใช่ระบบภายใน จึงมีการตั้งข้อสังเกตว่า อาจเป็นการถูกเจาะบัญชีจากภายนอก
  • FSF พยายามติดต่อ Google ทันที และกำลังดำเนินการ ระงับบัญชีและตรวจสอบสาเหตุ

ผลกระทบและการรับมือ

  • อีเมลสแปมถูกส่งในนามของ FSF ทำให้ มีความเสี่ยงต่อความน่าเชื่อถือขององค์กร
  • FSF แนะนำสมาชิกและผู้ติดตามให้ หลีกเลี่ยงการเปิดอีเมลที่น่าสงสัย
  • ขึ้นอยู่กับผลการตอบสนองจาก Google จะมีการดำเนินการ มาตรการด้านความปลอดภัยเพิ่มเติมและประกาศแจ้งเตือน ต่อไป

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 12 일 전
ความเห็นจาก Hacker News

  • ฉันเคยต้องพยายามติดต่อ Google เพื่อแก้ปัญหาที่มีคนสวมรอยใช้ชื่อและธุรกิจของฉันไปทำ การฉ้อโกง ผ่านที่อยู่ Gmail
    กระบวนการนี้ค่อนข้างยุ่งยากและใช้เวลาประมาณ 3 ชั่วโมง แต่ก็เป็นขั้นตอนที่จำเป็นเพราะไม่มีทางเลือกอื่น

    • เรื่องนี้เกิดขึ้นเมื่อประมาณหนึ่งเดือนก่อน เผื่อจะช่วยได้เลยขอแชร์ที่อยู่ที่ฉันส่งไป
      Google LLC, Attn: Legal Department – Custodian of Records, 1600 Amphitheatre Parkway, Mountain View, CA 94043
      ในจดหมายฉันเขียนอธิบายสถานการณ์ปัญหาและสิ่งที่ต้องการให้ดำเนินการ (ขอปิดบัญชี Gmail นั้นและขอเก็บรักษา IP) พร้อมแนบสำเนาชุดอีเมลเธรดที่ผู้เสียหายจากการฉ้อโกงส่งมาและรายงานตำรวจ
      ประมาณหนึ่งสัปดาห์ต่อมา Google ติดต่อกลับมาและยืนยันว่าบัญชีถูกปิดแล้ว แต่ฉันไม่รู้ว่ามีการเก็บข้อมูลไว้หรือมีมาตรการอื่นกับบริการอื่นหรือไม่
      ฉันแจ้งไปที่ FBI Internet Crime Complaint Center ด้วย แต่พูดตรง ๆ ว่ารู้สึกเหมือนเป็นแค่ พิธีการ
    • ฟังดูเป็นไอเดียที่ดี ฉันเองก็เคยโดนล็อกบัญชี YouTube Premium แต่ยังถูกเรียกเก็บเงินต่อ
      เพราะต้องล็อกอินก่อนถึงจะติดต่อฝ่ายซัพพอร์ตได้ สุดท้ายเลย ต้องเปลี่ยนหมายเลขบัตรเครดิตเท่านั้น
      แต่ถึงอย่างนั้นก็ยังถูกเรียกเก็บต่อ บริษัทบัตรเลยบอกว่าต้องปิดบัญชีให้หมดจด
    • ต้องทำแบบนี้แหละ หลักฐานเอกสาร (paper trail) ทำให้ความรับผิดชอบทุกอย่างชัดเจน
    • สงสัยว่าคุณระบุในจดหมายไหมว่าเป็นทนาย Google อาจตอบสนองต่างออกไปถ้ามองว่าเป็นเอกสารจากสำนักงานกฎหมาย
    • แต่ก็สงสัยว่าไม่มีวิธีป้องกันไม่ให้คนคนนั้นกลับมาลองใหม่ด้วยที่อยู่ Gmail ใหม่อีกเหรอ

  • ฉันเคยพยายามแจ้ง abuse กับ Google, Amazon และ Microsoft แล้วก็เลิกไป
    รายงานถูกเมิน และผู้ให้บริการรายใหญ่ก็ไม่ทำอะไรเลย หวังว่า FSF จะออกมาทำให้เกิดการเปลี่ยนแปลงอะไรสักอย่าง
    ตอนนี้แหล่งสแปมหลักคือสามเจ้านี้ ใหญ่เกินไปจนแทบจะบล็อกไม่ได้แล้ว
    ฉันคิดว่านี่คือผลจากการที่เราปล่อยปละละเลยกันเอง ไม่ใช่ว่าในบทสนทนานี้คนส่วนใหญ่ก็ใช้ Gmail เป็นอีเมลหลักกันอยู่เหรอ

    • ฉันแจ้ง บัญชีบอต บน YouTube อยู่หลายวัน แต่กลับเจอแค่ป๊อปอัปบอกว่า “ถ้าแจ้งเท็จมากเกินไปอาจถูกระงับได้”
      ดูไม่ใช่ว่า Google รับมือบอตไม่ได้จริง ๆ แต่เหมือน ไม่คิดจะพยายามตั้งแต่แรก มากกว่า
    • นี่แทบจะเป็น การผูกขาด (monopoly) อยู่แล้ว มีคนที่รันเมลเซิร์ฟเวอร์เองเพื่อความเป็นอิสระ แต่ก็มักถูก Gmail จัดเป็นสแปม
      มาตรฐานอย่าง DMARC กลับยิ่งกลายเป็นโครงสร้างที่ให้บริษัทยักษ์ใหญ่มีอำนาจมากขึ้น เลยชวนให้กังวล
    • ฉันไม่เป็นแบบนั้น แต่คนส่วนใหญ่ไม่อยากจ่ายเดือนละ 10 ดอลลาร์
      พวกเขามองว่ามูลค่าของอีเมลหนึ่งฉบับก็แค่ ราคาเบียร์หนึ่งแก้ว

  • ทีมเซลส์ในบริษัทของเราใช้ Gmass ส่งอีเมลจำนวนมาก และถ้ามีการแจ้งสแปมเยอะ Google ก็จะระงับบัญชี
    ผมคิดว่านี่เป็นข้อมูลที่น่าสนใจในแง่ที่ Google มีการ เฝ้าติดตามการใช้อีเมลในทางที่ผิด

    • จะเรียกว่าเป็น ‘การติดตามที่เข้มงวด’ ก็คงไม่ได้ มันหละหลวมเกินไป การที่มีเครื่องมืออย่าง Gmass อยู่ได้ก็ชวนอายแล้ว
    • ฟังดูเหมือนทีมเซลส์ของบริษัทคุณก็คือ สแปมเมอร์ นั่นแหละ
    • อยากรู้ว่าอีเมลที่ทีมเซลส์ส่งเป็น cold email หรือส่งถึงลูกค้าเดิม
    • การแจ้งสแปมทำได้เฉพาะผ่านเว็บอินเทอร์เฟซของ Gmail เท่านั้น ดังนั้นองค์กรอย่าง FSF จึงแจ้งได้ยากตั้งแต่แรก
    • ถ้าการมอนิเตอร์ทำงานเฉพาะใน Gmail ผู้ใช้ ที่ไม่ใช่ Gmail ก็ไม่มีทางแจ้งสแปมที่ส่งมาจาก Gmail ได้
      Google กำลังสร้าง ผลเสียต่อฝั่งผู้รับ ของระบบนิเวศอีเมล

  • จากการสังเกตขณะดูแลเซิร์ฟเวอร์ postfix 4 เครื่องในช่วง 2–3 ปีที่ผ่านมา Gmail ตอนนี้อยู่ในระดับที่ ไม่สามารถใส่ whitelist ได้อีกแล้ว
    มีทั้งสแปมและฟิชชิงเยอะเกินไป
    ในทางกลับกัน ถ้าผู้ใช้รีไดเร็กต์การแจ้งเตือนจาก Twitter หรือ LinkedIn ไปยัง Gmail Google กลับบล็อก IP โดยบอกว่า “ส่งเร็วเกินไป”
    เป็นสถานการณ์ที่ ทั้งขำทั้งเศร้า จริง ๆ

  • เมื่อไม่นานมานี้ฉันเห็นว่าบัญชีอีเมลส่วนตัวบนเซิร์ฟเวอร์ของฉันได้รับอีเมลจำนวนมากในเวลาอันสั้น
    ทั้งหมดถูกส่งต่อผ่าน Google Groups โดยมี group ID เปลี่ยนไปทุกครั้ง และพอมาดูทีหลังก็พบว่ากลุ่มถูกลบไปแล้ว
    เนื้อหาอีเมลดูเหมือนระบบตอบกลับอัตโนมัติที่ถูกต้องตามปกติ ไม่มีลิงก์อันตรายหรือโฆษณาเลย
    น่าจะเป็นบอตบางตัวที่สร้าง Google Group แล้วสมัครอีเมลแบบสุ่มเข้าไป จากนั้นก็นำที่อยู่อีเมลนั้นไปกรอกตามเว็บฟอร์มต่าง ๆ
    ฉันพอเข้าใจกลไกการทำงานนะ แต่สงสัยว่า ทำไมถึงต้องลงทุนลงแรงทำแบบนี้

    • นี่แทบจะแน่นอนว่าเป็น subscription bombing เป็นการโจมตีที่ถมกล่องจดหมายของเหยื่อด้วยอีเมลอัตโนมัติที่ดูถูกต้อง เพื่อให้พลาดอีเมลสำคัญ เช่น การรีเซ็ตรหัสผ่าน
    • ฉันก็เจอปัญหาเดียวกัน ถ้าใครสักคนตอบกลับ สมาชิกที่สมัครไว้ทั้งหมดก็จะได้รับเมลนั้น ทำให้มีอีเมลตอบกลับว่า “ช่วยเอาฉันออกจากลิสต์ที” ถล่มเข้ามาอีก
      สุดท้ายเลยสร้าง กฎยกเลิกรับ เพื่อบล็อกมัน

  • อยากถามว่าถึงเวลาหรือยังที่ชุมชน IT จะมองบริการอย่าง Gmail ซึ่ง ‘ใหญ่เกินกว่าจะบล็อกได้’ ว่าเป็น ศัตรู และทำการบล็อกเสียเอง

    • ที่จริงแล้ว ‘ชุมชน IT’ แบบนั้นไม่มีอยู่จริง คนทำงาน IT ส่วนใหญ่ก็สังกัด Google หรือบริษัทคล้าย ๆ กัน
      เพราะงั้นการเปลี่ยนแปลงแบบนี้จึงเป็นเพียง เรื่องที่เป็นไปได้ในทางทฤษฎี เท่านั้น
      ในโลกกายภาพเราอธิบายการเปลี่ยนแปลงด้วยแรงและมวล แต่พอเป็นเรื่องคน เรากลับพูดได้แค่ว่า “อยากให้เป็นแบบนั้น”
    • Microsoft ไม่ส่งต่อแม้กระทั่งอีเมลที่ถูกต้องไปยัง hotmail.com
      ฉันตั้งค่า SPF, DMARC, DKIM ครบหมดแล้วและไม่ได้ส่งสแปมด้วย แต่ก็ยังโดนบล็อก
      เพราะงั้นถ้าจะติดต่อผู้ใช้ hotmail ฉันก็แค่ โทรศัพท์หา

  • ฉันเคยโดนโทรสแปมทุก 5 นาที แต่คนโจมตีดันพลาดทิ้ง URL ของบักเก็ต AWS ไว้
    พอแจ้ง abuse ไปยัง Amazon กลุ่มสแปมก็ถูกยุบในทันที แล้วหลังจากนั้นสายโทรก็หยุดไป
    ตอนแจ้ง ถ้าระบุว่า “มีภาพลามกหรือภาพไม่เหมาะสมรวมอยู่ด้วย” อาจทำให้จัดการได้เร็วขึ้น

  • Gmail, Outlook และ Salesforce คิดเป็น 90% ของสแปมทั้งหมด
    Salesforce จัดการได้ด้วยการบล็อกระดับเครือข่าย แต่ Gmail กับ Outlook ไม่มีวิธีรับมือ

    • เมื่อก่อน Azure หรือ Sendgrid ก็มีสแปมเยอะ แต่ตอนนี้แทบหายไปแล้ว
      ตอนนี้ Google Cloud กลายเป็นแหล่งสแปม 80% แทน
    • ดูเหมือน Salesforce จะถูก whitelist ไว้ใน Gmail มีแต่อีเมลไร้ประโยชน์เต็มไปหมด
    • Mailchimp ก็เหมือนกัน ในบรรดาเมลจาก Mailchimp ที่ฉันเคยได้รับ ไม่มีฉบับไหนที่ไม่ใช่สแปมเลย

  • ในทางปฏิบัติแล้ว มีแค่ทางเดียวคือ จ้างบริการแจ้งบัญชีบอต ให้ช่วยรายงานบัญชีที่มีปัญหาเป็นจำนวนมาก

  • ช่วงนี้สแปมจากโดเมน “.bc.googleusercontent.com” เพิ่มขึ้นอย่างมาก

    • มันขึ้นอยู่กับการตั้งค่าเมลเซิร์ฟเวอร์ แต่สำหรับฉันคงปฏิเสธทุกเมลจาก googleusercontent.com ด้วย 5xx
      ตั้งแต่ตอนที่ Google จัด mailing list ของ OpenBSD เป็นสแปม ฉันก็ รัน MX server เอง
      ถ้ามีลูกค้าอยู่ ก็ควรวิเคราะห์ล็อกก่อนว่ามีทราฟฟิกที่ถูกต้องหรือไม่ และโดยพื้นฐานควรทำเครื่องหมายว่าเป็นสแปม
      ถ้าภายในองค์กรมี workflow ที่ใช้ Google อยู่ ก็ให้แทนด้วย VPN หรือวิธีอื่น
      ทางที่เหมาะที่สุดคือ บล็อก SMTP ทั้งโดเมน googleusercontent.com
      แต่ก็อาจมีระบบเก่าอยู่ได้ จึงอาจต้องค่อย ๆ ทดสอบเป็นเวลาหลายเดือน หรือบล็อกทีเดียวแล้วดูผลก็ได้