近日起,比尔盖子在 24 小时内收到了 20000 封来自公共邮件列表的订阅确认邮件,八成都来自自由和开源软件(FOSS)项目的邮件列表。而涵盖的项目也至少多达 20 个,不限于 OpenBSD、FreeBSD、GNU 计划、Ubuntu、CentOS、Qt、HostAp,甚至是以邮件著称的 Postfix。“订阅者”来自多个 IP。
在社交网络上分享经历后,不到 5 个小时,截至第一次发稿,就确认了受害者 @LI欣欣zn, @黑椒饼干, @路过的小新, @玩脱了的奶鱼, @機智的阿卡林chan, @06peng, @被窝型笨笨鱼, @和樹白翼, @无名小卒_路人A,似乎以技术圈为主。紧接下来的几天内,更是确认了萌娘百科官方邮箱,月光博客的作者 William Long,上海 Linux 用户组的 Thomas 等显著案例。部分受害者的邮箱因来信太多已经停止工作。个人用户只能暂时利用关键词过滤器规避攻击。更有甚者,@和樹白翼 紧急更换的新邮箱居然在新的一波攻击中遭殃。
邮件列表是 FOSS 项目的重要交流工具,日常开发几乎完全倚仗邮件列表。订阅邮件列表时,常见的程序均会给用户发送确认邮件,避免用户受到骚扰。然而,由于 FOSS 项目邮件列表大量存在,这就使得利用确认邮件本身加以骚扰他人成为可能。邮件列表通常均使用 GNU Mailman,而且通常不设有验证,更是为批量自动化操作提供了捷径。一个数字节的 POST 请求即可放大为内容更长的电子邮件。
这已经不是第一次发生类此状况,去年,GNOME 基金会管理的 FreeDesktop.org 列表就被利用进行攻击,管理者通过自行给 GNU Mailman 订阅增加了 reCAPTCHA 验证解决了问题。然而,还有大量的社区邮件列表处于没有保护的境地下(如 Fedora Project)。如果公共邮件列表一旦被广泛利用,这类低成本的攻击将会严重耗费 FOSS 项目系统资源,影响大量潜在的个人或机构正常使用电邮,如果这类邮件被归类为垃圾邮件,更会影响用户和开发者的正常工作。
2015年08月05日 — 18:22
但是成功率不高吧
2015年05月06日 — 11:51
我的邮箱也被攻击了。
2015年05月07日 — 08:27
居然是月光博客的作者 William Long,实在很荣幸能见到你,各位访客也快来认识一下 🙂 ;不过一想到是以这种原因见面,是在……
最近,我正在给一些技术网站投稿,希望能通过新闻报道使 FOSS 社区注意到这个问题。我发现你的博客对此已经有所报道,在此表示感谢。
2015年05月05日 — 12:56
最近似乎有什么人盯上了FOSS的maillist了,好多列表都是这样,唉。呪做这些事儿的人下辈子不举。
2015年05月04日 — 19:22
原来此新闻是你投递的。
2015年05月04日 — 18:15
并不明白为什么要这么做。有什么经济利益?还是仅仅为了测试一种方法?或者是为了恶心人?奇怪啊奇怪。