FSF intenta contactar a Google por el envío de más de 10 mil correos spam desde una cuenta de Gmail

 (daedal.io)
1 puntos por GN⁺ 12 일 전 | 1 comentarios | Compartir por WhatsApp
  • La Free Software Foundation (FSF) confirmó que se enviaron grandes cantidades de correos spam a través de una cuenta de Gmail
  • Se reportó que desde esa cuenta se enviaron más de 10 mil correos
  • La FSF está intentando contactar directamente a Google para resolver el problema
  • Se entiende que el remitente del spam usó Gmail para enviar correos en nombre de la FSF
  • Este caso vuelve a poner en foco la importancia de la credibilidad de las organizaciones de código abierto y la gestión de la seguridad del correo electrónico

Resumen del incidente

  • La FSF confirmó un incidente en el que se enviaron grandes cantidades de correos spam tras el abuso de una cuenta de Gmail
  • Como el envío se realizó mediante Gmail y no desde un sistema interno, se plantea la posibilidad de que una cuenta externa haya sido comprometida
  • La FSF intentó contactar de inmediato a Google y está avanzando con el bloqueo de la cuenta y el proceso para determinar la causa

Impacto y respuesta

  • Los correos spam se enviaron en nombre de la FSF, lo que podría afectar la confianza en la organización
  • La FSF recomendó a sus miembros y suscriptores evitar abrir correos sospechosos
  • Dependiendo de la respuesta de Google, se implementarán medidas de seguridad adicionales y nuevos avisos

Lecturas relacionadas

1 comentarios

 
GN⁺ 12 일 전
Opiniones de Hacker News

  • Yo resolví un problema en el que alguien intentaba cometer fraude suplantando mi nombre y mi empresa con una dirección de Gmail enviando por correo certificado un reporte policial al equipo legal de Google
    El proceso fue bastante engorroso y me tomó unas 3 horas, pero era un trámite necesario porque no había otra forma

    • Esto fue hace como un mes. Comparto la dirección a la que lo envié por si sirve de ayuda
      Google LLC, Attn: Legal Department – Custodian of Records, 1600 Amphitheatre Parkway, Mountain View, CA 94043
      En la carta expliqué la situación y la medida que quería que tomaran (cerrar esa cuenta de Gmail y preservar la IP), y adjunté copias impresas del hilo de correos enviado por la víctima del fraude y el reporte policial
      Aproximadamente una semana después Google se comunicó conmigo y me confirmó que la cuenta había sido cerrada. Eso sí, no supe si preservaron los datos ni si tomaron medidas en otros servicios
      También lo reporté al Internet Crime Complaint Center del FBI, pero honestamente se sintió como un mero trámite de forma
    • Suena como una buena idea. A mí también se me bloqueó una cuenta de YouTube Premium y me siguieron cobrando
      Como solo se podía contactar al soporte iniciando sesión, al final no me quedó otra que cambiar el número de la tarjeta de crédito
      Aun así los cargos siguieron, y la emisora me dijo que había que cerrar la cuenta por completo
    • Así es como debe hacerse. Un rastro documental (paper trail) deja claras todas las responsabilidades
    • Me pregunto si en la carta aclaraste que eras abogado. Si Google la identificó como documentación de un bufete, quizá reaccionó distinto
    • Pero me pregunto si había alguna forma de impedir que esa persona simplemente volviera a intentarlo con otra dirección de Gmail

  • Intenté reportar abuso a Google, Amazon y Microsoft, pero me rendí
    Ignoran los reportes y los grandes proveedores no hacen nada. Ojalá la FSF intervenga y logre cambiar algo
    Hoy las principales fuentes de spam son esas tres. Se han vuelto tan grandes que ya ni siquiera se pueden bloquear
    Creo que es consecuencia de nuestra pasividad. ¿En esta misma discusión no usa la mayoría Gmail como correo principal?

    • Durante varios días reporté cuentas bot en YouTube, y lo único que aparecía era un popup diciendo que “si haces demasiados reportes falsos te pueden suspender”
      No parece que Google de verdad no pueda lidiar con los bots, sino que ni siquiera intenta hacerlo
    • Esto es prácticamente un monopolio (monopoly). Hay gente que opera su propio servidor de correo para ser independiente, pero Gmail suele marcar sus mensajes como spam
      Me preocupa que estándares como DMARC terminen dándoles todavía más poder a las grandes empresas
    • Yo no, pero a la mayoría de la gente le cuesta pagar 10 dólares al mes
      Valoran un correo electrónico más o menos como el precio de una cerveza

  • El equipo de ventas de nuestra empresa usa Gmass para enviar correos en masa, y si acumulan muchos reportes de spam Google les suspende la cuenta
    Me parece un dato útil porque muestra que Google sí está monitoreando el abuso de correo electrónico

    • Eso está muy lejos de ser un “monitoreo fuerte”. Da vergüenza que exista una herramienta como Gmass
    • Por lo que cuentas, el equipo de ventas de tu empresa suena básicamente como spammers
    • Me pregunto si los correos que manda ventas son cold emails o si van dirigidos a clientes existentes
    • Como el reporte de spam solo se puede hacer desde la interfaz web de Gmail, a organizaciones como la FSF les resulta difícil siquiera reportarlo
    • Si el monitoreo solo funciona dentro de Gmail, los usuarios que no usan Gmail no tienen forma de reportar el spam enviado desde Gmail
      Google está perjudicando al ecosistema del correo en el lado receptor

  • Tras operar 4 servidores postfix durante los últimos 2 o 3 años, lo que he visto es que Gmail ya está en un punto en que no se puede poner en whitelist
    Hay demasiado spam y phishing
    En cambio, si un usuario redirige notificaciones de Twitter o LinkedIn hacia Gmail, Google bloquea la IP diciendo que “envía demasiado rápido”
    Es una situación realmente trágicamente cómica

  • Hace poco vi que las cuentas de correo personales en mi servidor empezaron a recibir grandes volúmenes de correo en poco tiempo
    Todo venía reenviado a través de Google Groups, con un ID de grupo distinto cada vez, y luego al revisar el grupo ya aparecía eliminado
    El contenido parecía un autorespondedor legítimo, sin enlaces maliciosos ni publicidad
    Supongo que algún bot crea grupos de Google, suscribe direcciones de correo al azar y luego mete esas direcciones en varios formularios web
    Entiendo cómo funciona, pero me intriga por qué se toman toda esa molestia

    • Casi seguro que esto es subscription bombing. Es un ataque en el que llenan la bandeja de entrada de la víctima con correos automáticos legítimos para que pase por alto mensajes importantes, como un restablecimiento de contraseña
    • A mí me pasó lo mismo. Si alguien respondía, todos los suscriptores recibían ese correo y se desataba una avalancha de respuestas de “por favor sáquenme de esta lista”
      Al final lo bloqueé creando una regla de cancelación de suscripción

  • Quisiera preguntar si no ha llegado el momento de que la comunidad de IT trate como hostil y bloquee a servicios “demasiado grandes para bloquear”, como Gmail

    • En realidad no existe una “comunidad de IT”. La mayoría de la gente de IT pertenece a Google o a empresas parecidas
      Por eso este tipo de cambio solo es posible en teoría.
      En el mundo físico explicamos los cambios con fuerza y masa, pero respecto a las personas solo hablamos del deseo de “ojalá pasara”
    • Microsoft ni siquiera entrega correo legítimo a hotmail.com
      Tengo SPF, DMARC y DKIM configurados y no envío spam, pero igual me bloquean
      Así que con los usuarios de hotmail simplemente me comunico por teléfono

  • Yo recibía llamadas spam cada 5 minutos, pero por error el atacante dejó la URL de un bucket de AWS
    Reporté el abuso a Amazon y de inmediato desmantelaron al grupo de spam, y desde entonces se acabaron las llamadas
    Si al hacer el reporte dices que “incluye pornografía o imágenes inapropiadas”, puede que lo procesen más rápido

  • Gmail, Outlook y Salesforce representan el 90% de todo el spam
    Salesforce lo resolví bloqueando su red, pero con Gmail y Outlook no hay forma

    • Antes también había mucho spam desde Azure o Sendgrid, pero ahora casi desapareció
      Ahora Google Cloud representa el 80% del spam
    • Parece que Salesforce está en la whitelist de Gmail. Hay demasiado correo inútil
    • Con Mailchimp pasa lo mismo. De todos los correos de Mailchimp que he recibido, ni uno solo no era spam

  • En la práctica, la única opción es contratar un servicio de reporte de bots que denuncie en masa las cuentas problemáticas

  • Últimamente se disparó el spam que llega desde el dominio “.bc.googleusercontent.com”

    • Depende de cómo tengas configurado el servidor de correo, pero yo probablemente rechazaría con 5xx todo lo que venga de googleusercontent.com
      Desde que Google marcó como spam la lista de correo de OpenBSD, opero directamente mi propio servidor MX
      Si tienes clientes, conviene revisar los logs para ver si hay tráfico legítimo y, por defecto, marcarlo como spam
      Si adentro usan Google en algún flujo de trabajo, sustitúyelo con una VPN u otro método
      Lo ideal sería bloquear por SMTP todo googleusercontent.com
      Eso sí, puede haber sistemas viejos, así que puedes probar gradualmente durante unos meses o bloquearlo de una vez y ver qué pasa