FSF tenta contatar o Google após problema de envio de mais de 10 mil e-mails de spam a partir de conta do Gmail

 (daedal.io)
1 pontos por GN⁺ 12 일 전 | 1 comentários | Compartilhar no WhatsApp
  • A Free Software Foundation (FSF) confirmou que uma grande quantidade de e-mails de spam foi enviada por meio de uma conta do Gmail
  • Foi relatado que mais de 10 mil e-mails foram enviados a partir dessa conta
  • A FSF está tentando contato direto com o Google para resolver o problema
  • Foi constatado que o autor do spam usou o Gmail para enviar e-mails em nome da FSF
  • O caso voltou a chamar atenção para a credibilidade de organizações de código aberto e a importância da gestão da segurança de e-mail

Visão geral do incidente

  • A FSF confirmou um incidente em que uma grande quantidade de e-mails de spam foi enviada após o uso indevido de uma conta do Gmail
  • Como o envio ocorreu pelo Gmail, e não por um sistema interno, foi levantada a possibilidade de comprometimento de uma conta externa
  • A FSF tentou entrar em contato imediatamente com o Google e está conduzindo os procedimentos de bloqueio da conta e apuração da causa

Impacto e resposta

  • Como os e-mails de spam foram enviados em nome da FSF, há preocupação com impacto na credibilidade da organização
  • A FSF recomendou a membros e assinantes que evitem abrir e-mails suspeitos
  • Dependendo da resposta do Google, deverão ser adotadas medidas adicionais de segurança e novos avisos

Leituras relacionadas

1 comentários

 
GN⁺ 12 일 전
Opiniões do Hacker News

  • Eu tive um problema com alguém tentando aplicar golpe usando um endereço do Gmail fingindo ser eu e minha empresa, então registrei um boletim de ocorrência e enviei por correio registrado para o departamento jurídico do Google
    Foi um processo bem trabalhoso e levou umas 3 horas, mas era necessário porque não havia outro caminho

    • Isso aconteceu há cerca de um mês. Vou compartilhar o endereço que usei, caso ajude
      Google LLC, Attn: Legal Department – Custodian of Records, 1600 Amphitheatre Parkway, Mountain View, CA 94043
      Na carta, descrevi a situação e a medida desejada (encerramento da conta do Gmail e solicitação de preservação de IP), e anexei a impressão da thread de emails enviada pela vítima do golpe e o boletim de ocorrência
      Cerca de uma semana depois, o Google entrou em contato e confirmou que a conta havia sido encerrada. Mas não fiquei sabendo se os dados foram preservados ou se houve outras medidas em serviços relacionados
      Também denunciei ao Internet Crime Complaint Center do FBI, mas, sinceramente, pareceu apenas uma formalidade
    • Parece uma boa ideia. Minha conta do YouTube Premium também foi bloqueada, mas continuaram me cobrando
      Como só é possível falar com o suporte estando logado, no fim a única saída foi trocar o número do cartão de crédito
      Mesmo assim as cobranças continuaram, e a operadora disse que eu teria de encerrar a conta completamente
    • É assim que tem que ser. A trilha documental (paper trail) deixa toda a responsabilidade claramente registrada
    • Fiquei curioso se você mencionou na carta que era advogado. Se o Google a reconheceu como documentação de um escritório jurídico, talvez tenha reagido de forma diferente
    • Mas fico me perguntando se não havia como impedir que essa pessoa simplesmente tentasse de novo com outro endereço do Gmail

  • Eu tentei fazer denúncias de abuso ao Google, Amazon e Microsoft, mas desisti
    As denúncias são ignoradas, e os grandes provedores não tomam nenhuma providência. Espero que a FSF consiga fazer algo mudar
    Hoje, as principais fontes de spam são esses três. Ficaram grandes demais a ponto de nem dar para bloquear
    Acho que isso é resultado da nossa omissão. Nesta discussão mesmo, a maioria não usa o Gmail como email principal?

    • Passei vários dias denunciando contas de bot no YouTube, mas tudo o que apareceu foi um popup dizendo que eu poderia ser suspenso por “denúncias falsas” em excesso
      Não parece que o Google é incapaz de combater bots, e sim que nem tenta de fato
    • Isso é, na prática, um monopólio (monopoly). Algumas pessoas mantêm seus próprios servidores de email para preservar a independência, mas o Gmail frequentemente classifica isso como spam
      Fico preocupado que padrões como DMARC acabem dando ainda mais influência às grandes empresas
    • Eu não, mas a maioria das pessoas não gosta da ideia de pagar 10 dólares por mês
      Elas atribuem a um email o valor de uma cerveja

  • A equipe de vendas da nossa empresa usa Gmass para enviar emails em massa, e, se houver muitas denúncias de spam, o Google suspende a conta
    Acho que isso é um dado útil no sentido de que o Google monitora abuso de email

    • Isso é fraco demais para chamar de “monitoramento forte”. É vergonhoso que exista uma ferramenta como Gmass
    • Pelo que você descreve, parece que a equipe de vendas da sua empresa é basicamente spammer
    • Fiquei curioso se os emails da equipe de vendas são cold emails ou se vão para clientes já existentes
    • Como denúncias de spam só podem ser feitas pela interface web do Gmail, organizações como a FSF têm dificuldade até para denunciar
    • Se esse monitoramento só funciona no Gmail, então usuários que não usam Gmail não têm como denunciar spam enviado a partir do Gmail
      O Google está prejudicando o ecossistema de email do lado de quem recebe

  • Pela minha observação operando 4 servidores postfix nos últimos 2 ou 3 anos, o Gmail chegou a um ponto em que não dá mais para colocar em whitelist
    Há spam e phishing demais
    Em contrapartida, se um usuário redireciona notificações do Twitter ou LinkedIn para o Gmail, o Google bloqueia o IP dizendo que está “enviando rápido demais”
    É uma situação realmente trágica e cômica ao mesmo tempo

  • Recentemente, vi contas de email pessoais no meu servidor receberem um grande volume de mensagens em pouco tempo
    Todas foram encaminhadas via Google Groups, com o ID do grupo mudando a cada vez, e depois o grupo acabava apagado
    O conteúdo dos emails parecia de respostas automáticas legítimas, sem links maliciosos nem anúncios
    Imagino que algum bot esteja criando grupos do Google, inscrevendo endereços aleatórios e depois colocando esses endereços em vários formulários web
    Entendo como funciona, mas fico me perguntando por que se dariam a esse trabalho

    • Isso é quase certamente subscription bombing. É um ataque que enche a caixa de entrada da vítima com emails automáticos legítimos para que ela deixe passar alguma mensagem importante, como redefinição de senha
    • Eu tive o mesmo problema. Quando alguém respondia, todos os inscritos recebiam a mensagem, e começava uma enxurrada de respostas dizendo “por favor, me tirem da lista”
      No fim, criei uma regra de cancelamento/recusa de recebimento para bloquear isso

  • Quero perguntar se já não chegou a hora de a comunidade de TI tratar e bloquear serviços como o Gmail, que são “grandes demais para bloquear”, como entidades hostis

    • Na prática, “comunidade de TI” não existe. A maioria das pessoas de TI trabalha no Google ou em empresas parecidas
      Então esse tipo de mudança é algo possível apenas em teoria.
      No mundo físico explicamos mudanças com força e massa, mas, quando se trata de pessoas, só falamos em esperança do tipo “seria bom se acontecesse”
    • A Microsoft não entrega nem email legítimo para hotmail.com
      Eu configurei SPF, DMARC e DKIM, não envio spam, e mesmo assim sou bloqueado
      Então, com usuários do hotmail, eu simplesmente entro em contato por telefone

  • Eu recebia ligações de spam a cada 5 minutos, mas o atacante deixou por engano a URL de um bucket da AWS
    Quando fiz uma denúncia de abuso para a Amazon, o grupo de spam foi desmontado imediatamente, e as ligações pararam depois disso
    Ao denunciar, dizer que havia “pornografia ou imagens impróprias” pode até acelerar o atendimento

  • Gmail, Outlook e Salesforce respondem por 90% de todo o spam
    O Salesforce foi resolvido com bloqueio em nível de rede, mas com Gmail e Outlook não há solução

    • Antes também havia muito spam vindo de Azure e Sendgrid, mas agora praticamente sumiu
      Hoje, o Google Cloud responde por 80% do spam
    • O Salesforce parece estar em whitelist no Gmail. Tem email inútil demais vindo dali
    • Com o Mailchimp é a mesma coisa. De todos os emails do Mailchimp que já recebi, nenhum sequer não era spam

  • Na prática, só resta contratar um serviço de denúncia de bots para denunciar em massa as contas problemáticas

  • Recentemente houve uma explosão de spam vindo do domínio “.bc.googleusercontent.com”

    • Depende da configuração do servidor de email, mas eu provavelmente rejeitaria com 5xx qualquer mensagem vinda de googleusercontent.com
      Desde que o Google classificou a lista de emails do OpenBSD como spam, opero meu próprio servidor MX
      Se você tiver clientes, analise os logs para ver se há tráfego legítimo e, por padrão, marque isso como spam
      Se houver algum fluxo de trabalho interno usando Google, substitua isso por VPN ou outro método
      O ideal seria bloquear via SMTP todo o domínio googleusercontent.com
      Mas pode haver sistemas antigos, então vale testar gradualmente por alguns meses ou bloquear tudo de uma vez e observar o resultado