Cientos de mensajes por hora y sin protección: Zendesk se convirtió en la principal plataforma de spam en enero.
Desconocidos provocaron un gran revuelo sin hackear ni una sola cuenta.
Desde mediados de enero, usuarios de todo el mundo empezaron a quejarse masivamente por una avalancha de mensajes extraños que llegaban a su correo electrónico. La causa fue una vulnerabilidad en el sistema de soporte al cliente de Zendesk, que actores maliciosos convirtieron en una herramienta para enviar spam.
La primera ola de mensajes se registró el 18 de enero. Los destinatarios indicaron que sus direcciones recibieron cientos de correos con asuntos inquietantes o simplemente absurdos — desde «SOLICITUD URGENTE DE LAS AUTORIDADES» hasta «¡DISCORD NITRO GRATIS!!» o «¡AYUDA!».
En algunos asuntos se usaron símbolos decorativos de distintos idiomas, lo que hacía los mensajes aún más caóticos. Aun así, no se detectaron enlaces maliciosos ni intentos de phishing en los correos: su objetivo probablemente era desorientar e irritar a los destinatarios.
La esencia del ataque es que el sistema de Zendesk permite enviar solicitudes sin verificar la dirección de correo electrónico. Esto fue aprovechado por desconocidos, que completaron los formularios de soporte en nombre de direcciones aleatorias. En respuesta, el servicio envía automáticamente una notificación de recepción de la solicitud: precisamente esos correos estaban llegando a los usuarios. La automatización y la falta de restricciones permitieron lanzar envíos masivos aprovechando sistemas legítimos de soporte.
Se vieron afectados clientes de decenas de empresas, incluidas Discord, Tinder, Riot Games, Dropbox, CD Projekt, Maya Mobile, NordVPN, así como el departamento de Trabajo y la agencia tributaria del estado de Tennessee, la plataforma educativa Kahoot, el servicio de meditación Headspace y el servicio de alquiler de patinetes Lime. Algunas organizaciones, entre ellas Dropbox y 2K, ya confirmaron el incidente y comunicaron a los usuarios que no hay motivos para preocuparse.
En particular, 2K explicó que su sistema de soporte permite dejar solicitudes sin registro ni verificación del correo para facilitar la retroalimentación. Sin embargo, añadieron que sin verificación no atienden solicitudes relacionadas con cuentas ni datos confidenciales.
Zendesk ya ha implementado mecanismos de protección adicionales. La empresa informó que aumentó la supervisión de la actividad e introdujo límites que ayudan a detectar más rápidamente intentos de envío masivo de spam. También recordó que los administradores pueden restringir la creación de solicitudes, permitiéndola solo a usuarios verificados y eliminando la posibilidad de especificar asuntos y direcciones arbitrarias.