La FSF tente de contacter Google après l’envoi de plus de 10 000 spams depuis un compte Gmail

 (daedal.io)
1 points par GN⁺ 14 일 전 | 1 commentaires | Partager sur WhatsApp
  • La Free Software Foundation (FSF) a confirmé qu’un grand volume de spams a été envoyé via un compte Gmail
  • Il est rapporté que plus de 10 000 e-mails ont été envoyés depuis ce compte
  • La FSF tente de contacter directement Google pour résoudre le problème
  • L’expéditeur des spams aurait utilisé Gmail pour envoyer des e-mails au nom de la FSF
  • Un cas qui remet en lumière l’importance de la crédibilité des organisations open source et de la sécurité des e-mails

Aperçu de l’incident

  • La FSF a confirmé un incident d’envoi massif de spams lié à l’utilisation abusive d’un compte Gmail
  • Comme l’envoi ne provenait pas d’un système interne mais de Gmail, la possibilité d’une compromission d’un compte externe est évoquée
  • La FSF a immédiatement tenté de contacter Google et procède au blocage du compte ainsi qu’à l’identification de la cause

Impact et réponse

  • Les spams ayant été envoyés au nom de la FSF, la crédibilité de l’organisation pourrait en être affectée
  • La FSF recommande à ses membres et abonnés de ne pas ouvrir les e-mails suspects
  • Selon la réponse de Google, des mesures de sécurité supplémentaires et de nouvelles annonces devraient suivre

À lire aussi

1 commentaires

 
GN⁺ 14 일 전
Avis Hacker News

  • J’ai dû envoyer un rapport de police par courrier recommandé au service juridique de Google pour faire cesser quelqu’un qui usurpait mon nom et mon entreprise via une adresse Gmail pour tenter une escroquerie
    C’était assez pénible et ça m’a pris environ trois heures, mais il n’y avait pas d’autre solution, donc c’était indispensable

    • C’était il y a environ un mois. Je partage l’adresse à laquelle j’ai écrit, au cas où ça puisse aider
      Google LLC, Attn: Legal Department – Custodian of Records, 1600 Amphitheatre Parkway, Mountain View, CA 94043
      Dans la lettre, j’ai décrit la situation et l’action demandée (fermeture du compte Gmail et demande de conservation de l’IP), et j’ai joint une impression du fil d’e-mails envoyé par la victime de l’escroquerie ainsi que le rapport de police
      Environ une semaine plus tard, Google m’a contacté pour confirmer que le compte avait été fermé. En revanche, je n’ai pas su si les données avaient été conservées ni si d’autres mesures avaient été prises sur d’autres services
      J’ai aussi signalé l’affaire au Internet Crime Complaint Center du FBI, mais honnêtement, ça m’a surtout donné l’impression d’une simple formalité
    • Ça semble être une bonne idée. Mon compte YouTube Premium a aussi été bloqué, tout en continuant à être débité
      Comme il fallait être connecté pour contacter le support, je n’ai eu d’autre choix que de changer de numéro de carte bancaire
      Et malgré ça, les prélèvements ont continué, donc ma banque m’a dit qu’il fallait fermer complètement le compte
    • C’est comme ça qu’il faut faire. Une trace écrite (paper trail) permet d’établir clairement toutes les responsabilités
    • Je me demande si tu as précisé dans la lettre que tu étais avocat. Google a peut-être réagi différemment en voyant un document provenant d’un cabinet juridique
    • Mais y avait-il un moyen d’empêcher cette personne de recommencer avec une nouvelle adresse Gmail ?

  • J’ai essayé de signaler des abus à Google, Amazon et Microsoft, puis j’ai abandonné
    Les signalements sont ignorés, et les grands fournisseurs ne prennent aucune mesure. J’espère que la FSF arrivera à faire bouger les choses
    Aujourd’hui, les principales sources de spam sont ces trois acteurs. Ils sont devenus si gros qu’il est presque impossible de les bloquer
    Je pense que c’est le résultat de notre passivité. Dans cette discussion aussi, la majorité n’utilise-t-elle pas Gmail comme adresse principale ?

    • J’ai signalé pendant plusieurs jours des comptes bots sur YouTube, et tout ce que j’ai obtenu, c’est un pop-up disant que trop de faux signalements pouvaient entraîner une suspension
      Google ne donne pas vraiment l’impression d’être incapable de lutter contre les bots, mais plutôt de ne même pas essayer
    • C’est en pratique un monopole. Certaines personnes exploitent leur propre serveur mail pour rester indépendantes, mais Gmail classe souvent leurs messages comme spam
      Des standards comme DMARC finissent même par renforcer l’influence des grandes entreprises, ce qui pose problème
    • Pas moi, mais la plupart des gens rechignent à payer 10 dollars par mois
      Ils estiment qu’un e-mail vaut à peu près le prix d’une bière

  • L’équipe commerciale de notre société utilise Gmass pour envoyer des e-mails en masse, et si les signalements de spam s’accumulent, Google suspend le compte
    Je pense que c’est une donnée utile montrant que Google fait quand même du monitoring des abus par e-mail

    • Appeler ça une « surveillance poussée » serait exagéré. Le simple fait qu’un outil comme Gmass existe est déjà embarrassant
    • À t’entendre, on dirait surtout que l’équipe commerciale de ton entreprise se comporte comme des spammeurs
    • Je me demande si les e-mails envoyés par l’équipe commerciale sont des cold emails, ou s’ils s’adressent à des clients existants
    • Comme on ne peut signaler le spam que depuis l’interface web de Gmail, des organisations comme la FSF ont du mal à signaler quoi que ce soit
    • Si ce monitoring ne fonctionne que dans Gmail, les utilisateurs non-Gmail n’ont aucun moyen de signaler le spam envoyé depuis Gmail
      Google nuit à l’écosystème du mail du point de vue de la réception

  • Après avoir exploité quatre serveurs postfix au cours des deux ou trois dernières années, j’en suis arrivé à la conclusion que Gmail est désormais impossible à mettre en liste blanche
    Il y a bien trop de spam et de phishing
    À l’inverse, quand un utilisateur redirige vers Gmail des notifications Twitter ou LinkedIn, Google bloque l’IP au motif que l’envoi serait trop rapide
    La situation est à la fois absurde et tragique

  • J’ai récemment constaté que des comptes mail personnels sur mon serveur recevaient soudainement un grand volume de messages en peu de temps
    Ils arrivaient tous via Google Groups, avec un identifiant de groupe différent à chaque fois, et plus tard, le groupe était supprimé
    Le contenu semblait être celui d’auto-réponses légitimes, sans lien malveillant ni publicité
    J’imagine qu’un bot crée des groupes Google, y inscrit des adresses e-mail au hasard, puis soumet ces adresses à divers formulaires web
    Je comprends le mécanisme, mais je me demande pourquoi se donner autant de mal

    • C’est presque certainement du subscription bombing. L’idée est d’inonder la boîte de réception de la victime avec des messages automatiques légitimes, afin qu’elle rate un e-mail important, comme une réinitialisation de mot de passe
    • J’ai eu le même problème. Dès que quelqu’un répond, tous les abonnés reçoivent le message, ce qui déclenche une avalanche de réponses du type « retirez-moi de cette liste »
      J’ai fini par bloquer ça avec une règle de désabonnement

  • Je me demande s’il n’est pas temps que la communauté IT considère des services comme Gmail, « trop gros pour être bloqués », comme des acteurs hostiles et les bloque

    • En réalité, la « communauté IT » n’existe pas vraiment. La plupart des professionnels de l’IT appartiennent à Google ou à des entreprises similaires
      Du coup, ce genre de changement n’est possible qu’en théorie.
      Dans le monde physique, on explique les changements par la force et la masse ; quand il s’agit des humains, on se contente de parler d’espoirs du type « ce serait bien si »
    • Microsoft n’achemine même pas les e-mails légitimes vers hotmail.com
      J’ai configuré SPF, DMARC et DKIM, je n’envoie pas de spam, et pourtant ça reste bloqué
      Du coup, avec les utilisateurs hotmail, je passe simplement par le téléphone

  • Je recevais des appels spam toutes les cinq minutes, et l’attaquant a laissé par erreur une URL de bucket AWS
    J’ai envoyé un signalement abuse à Amazon, et le groupe de spam a été dissous immédiatement ; depuis, les appels ont cessé
    Au moment du signalement, dire que cela contenait de la pornographie ou des images inappropriées pourrait peut-être accélérer le traitement

  • Gmail, Outlook et Salesforce représentent 90 % de tout le spam
    Salesforce a pu être géré par un blocage réseau, mais pour Gmail et Outlook, il n’y a pas de solution

    • Avant, il y avait aussi beaucoup de spam provenant d’Azure ou de Sendgrid, mais c’est désormais presque disparu
      Maintenant, Google Cloud représente 80 % du spam
    • Salesforce semble être en liste blanche chez Gmail. Il y a beaucoup trop de messages inutiles
    • Même chose pour Mailchimp. Parmi tous les e-mails Mailchimp que j’ai reçus jusqu’ici, pas un seul n’était autre chose que du spam

  • En pratique, la seule option est de faire appel à un service de signalement de bots pour signaler massivement les comptes problématiques

  • Il y a récemment eu une explosion du spam provenant du domaine ".bc.googleusercontent.com"

    • Selon la configuration de votre serveur mail, je rejetterais sans doute en 5xx tous les messages venant de googleusercontent.com
      Depuis que Google a classé en spam la mailing-list OpenBSD, j’exploite mon propre serveur MX
      Si vous avez des clients, analysez les logs pour voir s’il existe du trafic légitime, puis marquez-le comme spam par défaut
      Si vous avez des workflows internes qui dépendent de Google, remplacez-les par un VPN ou une autre solution
      L’idéal serait de bloquer tout googleusercontent.com en SMTP
      Cela dit, il peut y avoir des systèmes anciens, donc vous pouvez tester progressivement pendant quelques mois, ou tout bloquer d’un coup et voir ce que ça donne