Penjahat dunia maya mengeksploitasi pengaturan autentikasi email yang lemah di Zendesk, menggunakan sistem dukungan pelanggan platform tersebut untuk membombardir target dengan ribuan spam dan pesan-pesan yang melecehkan yang tampaknya berasal dari perusahaan sah seperti The Washington Post, Discord, dan NordVPN. Laporan KrebsOnSecurity: Zendesk adalah layanan meja bantuan otomatis yang dirancang untuk memudahkan orang menghubungi perusahaan untuk masalah dukungan pelanggan. Awal pekan ini, KrebsOnSecurity mulai menerima ribuan pesan pemberitahuan pembuatan tiket melalui Zendesk secara berurutan, masing-masing memuat nama pelanggan Zendesk yang berbeda, seperti CapCom, CompTIA, Discord, GMAC, NordVPN, The Washington Post, dan Tinder. Surat-surat kasar yang dikirim melalui platform Zendesk dapat mencakup baris subjek apa pun yang dipilih oleh pelaku. Dalam kasus saya, pesan-pesan tersebut memperingatkan tentang dugaan penyelidikan penegakan hukum yang melibatkan KrebsOnSecurity.com, atau berisi penghinaan pribadi. Selain itu, pesan otomatis yang dikirim dari penyalahgunaan jenis ini semuanya berasal dari nama domain pelanggan — bukan dari Zendesk. […]
Dalam semua kasus di atas, penyalahgunaan pesan tidak akan mungkin terjadi jika pelanggan Zendesk memvalidasi alamat email permintaan dukungan sebelum mengirimkan tanggapan. Kegagalan untuk melakukan hal ini mungkin akan memudahkan klien Zendesk untuk menangani permintaan dukungan pelanggan, namun hal ini juga memungkinkan orang-orang yang tidak melakukan apa-apa untuk menodai merek pengirim dalam layanan banjir email yang mengganggu dan berbahaya. “Kami menyadari bahwa sistem kami dimanfaatkan untuk merugikan Anda secara terdistribusi dan saling bertentangan,” kata Carolyn Camoens, direktur komunikasi di Zendesk. “Kami secara aktif menyelidiki tindakan pencegahan tambahan. Kami juga menyarankan pelanggan yang mengalami aktivitas semacam ini untuk mengikuti praktik terbaik keamanan umum kami dan mengonfigurasi alur kerja pembuatan tiket yang diautentikasi.”
Baca lebih lanjut cerita ini di Slashdot.
