.
O registrador de domínio Namecheap culpou um “provedor terceirizado” que envia seus boletins depois que os clientes reclamaram de receber e-mails de phishing do sistema da Namecheap.
O CEO Richard Kirkendall parece ter nomeado o provedor como SendGrid em um tweet deletado esta manhã.
Mais de um cliente notou que os e-mails – que supostamente eram da DHL e do provedor de carteira de criptoativos MetaMask – foram assinados digitalmente com DKIM e recebidos em distinto e-mails que eles atribuído exclusivamente para comunicações com Namecheap.
Os e-mails da DHL – reproduzidos por vários usuários aqui, aqui e aqui – balance a isca favorita do phisher: basta pagar esta taxa de entrega e você receberá este doce pacote.
O phish MetaMask, por outro lado, perguntado proprietários de suas carteiras criptográficas para obter informações “Know Your Customer” (KYC). MetaMask é uma carteira digital que permite armazenar e usar tokens Ethereum e não requer processo KYC já que não está sujeito a regulamentações destinadas a provedores de “serviços financeiros”, como bancos. Se você tem algum amigo MetaMask cujas carteiras foram drenadas, você pode dizer a eles que isso ocorre porque o MetaMask não fornece nenhum serviço financeiro. Tarde demais, ao que parece, para um titular de conta no Twitter chamando a si mesmo bochechas vermelhasque disseram ter perdido todo o seu Ethereum.
Observamos que nem todos os clientes ficaram impressionados com o dedo apontado por Namecheap. Um usuário reclamou: “Você está perdendo totalmente o ponto. O fardo da responsabilidade não desaparece se eles compartilharem informações com terceiros, não importa o motivo.”
Kirkendall’s Conta do Twitter respondeu a isso esta manhã, afirmando: “absolutamente não, mas novamente é prática comum usar terceiros para enviar e-mail, helpdesk, até mesmo um sistema de e-mail em si. Nós construímos principalmente nossas próprias ferramentas, mas infelizmente não foi o caso aqui. “
SendGrid, adquirido pelo comerciante de API de comunicação Twilio em 2019afirma em seu local na rede Internet processar “mais de 100 bilhões de e-mails” por mês e ter sido a plataforma usada para enviar um e-mail para “50 por cento dos endereços de e-mail do mundo” entre junho de 2016 e junho de 2017.
Twilio SendGrid disse Strong The One “investe fortemente em tecnologia e pessoas focadas no combate às comunicações fraudulentas e ilegais”, acrescentando estar “ciente da situação relativa à utilização da nossa plataforma para lançar e-mails de phishing e as nossas equipas de fraude, compliance e segurança cibernética estão empenhadas no assunto. “
Ele acrescentou: “Esta situação não é resultado de um hack ou comprometimento da rede do Twilio. Encorajamos todos os usuários finais e entidades a adotar uma abordagem multifacetada para combater ataques de phishing, implantando precauções de segurança, como autenticação de dois fatores, gerenciamento de acesso IP , e usando mensagens baseadas em domínio.”
Em uma atualização de status em 1727 Eastern (2227 UTC) ontem à noite, que ainda está marcada como “em andamento”, Namecheap disse:
O registrador de domínio acrescentou que “interrompeu todos os e-mails (que incluem entrega de códigos de autenticação, verificação de dispositivos confiáveis e e-mails de redefinição de senha etc.) e entrou em contato com nosso provedor upstream para resolver o problema. Ao mesmo tempo, também estamos investigando a questão do nosso lado.”
Em um relatório [PDF] em dezembro do ano passado, o BeVigil da CloudSEK disse que 50% dos 600 aplicativos móveis analisados estavam vazando chaves de API codificadas não apenas do SendGrid, mas também de outros provedores de serviços de e-mail transacionais e de marketing populares Mailgun e Mailchimp. Os pesquisadores identificaram “40% dos casos válidos [SendGrid] Chaves de API” na amostra.
Em um incidente não relacionado de 2018, o SendGrid expôs publicamente os endereços de e-mail de seus próprios clientes por meio do que chamou de “configuração incorreta da rede”, permitindo que os mecanismos de pesquisa rastreassem os dados como um objetivo próprio. A empresa disse o Reg na época, ele havia atualizado seus “cabeçalhos para impedir qualquer rastreamento futuro do mecanismo de pesquisa do recurso Grupos de cancelamento de assinatura”, sem explicar por que a página não exigia credenciais de login em primeiro lugar.
Aquele ano, Namecheap também admitiu que uma implementação personalizada de DNS para seus sistemas de hospedagem compartilhada criou uma “lacuna inesperada” em sua segurança, permitindo que clientes usando seu produto de Hospedagem Compartilhada adicionassem um subdomínio de qualquer domínio que fosse apontado para o cluster DNS da Namecheap para seu cPanel e gerenciassem isso de lá. Ele lançou uma correção em fevereiro de 2018.
Três anos antes, o SendGrid admitiu que um conjunto muito mais amplo de informações – nomes de usuário, endereços de e-mail e senhas (com sal e hash) para contas de clientes e funcionários do SendGrid – foram expostos após invasores roubaram detalhes de login para a conta de um funcionário do SendGrid.
Pedimos comentários a ambas as empresas. ®
.
