Оффлайн
- Регистрация
- 9 Май 2015
- Сообщения
- 1,483
- Баллы
- 155
Почтовый хостинг-провайдер Cock.li сообщил, что пострадал от утечки данных. Хакеры воспользовались уязвимостями в Roundcube Webmail и похитили более миллиона пользовательских записей.
Инцидент затронул всех пользователей, которые заходили в почтовый сервис с 2016 года (согласно подсчетам, это 1 023 800 человек). Также были раскрыты контактные данные еще 93 000 пользователей.
Напомним, что Cock.li — это расположенный в Германии бесплатный почтовый хостинг-провайдер, ориентированный на конфиденциальность. Сервис существует с 2013 года, и им управляет единственный администратор, известный под псевдонимом Винсент Кенфилд (Vincent Canfield). Сервис рекламируется как альтернатива обычным почтовым провайдерам и поддерживает стандартные протоколы, включая SMTP, IMAP и TLS.
В основном Cock.li используют люди, которые не доверяют крупным провайдерам, а также члены ИБ- и опенсорс-сообществ. Кроме того, сервис весьма популярен среди киберпреступников, например, связанных с вымогательскими группировками Dharma и Phobos.
Стоит отметить, что в прошлом у платформы уже возникали юридические проблемы: в 2015 году немецкие правоохранители и жесткие диски Cock.li, после того как неизвестный разослал в учебные учреждения США письма с ложным сообщением о заложенной бомбе.
В конце прошлой недели работа Cock.li неожиданно прервалась, и пользователям оставалось только гадать, что произошло.
Вскоре после этого на хак-форуме XSS появилось сообщение от злоумышленника, который заявил, что продает две базы данных с дампом Cock.li, содержащие конфиденциальную информацию о пользователях. Хакер оценил дамп как минимум в один биткоин (около 104 000 долларов по текущему курсу).
Лишь спустя несколько дней, на этой неделе на сайте Cock.li было опубликовано , подтверждающее факт взлома. Сообщается, что хакерам действительно удалось похитить информацию для 1 023 800 учетных записей, включая:
В заявлении подчеркивается, что пароли пользователей, содержимое писем и IP-адреса не были скомпрометированы, поскольку их не было в украденных БД. Также сообщается, что 10 400 пользователей, у которых похитили контактную информацию третьих лиц, получат отдельные уведомления.
Теперь всем, кто пользовался сервисом с 2016 года, рекомендуется как можно скорее сбросить пароли для своих учетных записей.
В Cock.li полагают, что данные были украдены с помощью старой уязвимости SQL-инъекций в Roundcube Webmail (). При этом незадолго до взлома сервис изучал более свежую RCE-уязвимость в Roundcube (), которая уже применяется в атаках. По результатам этого анализа, в июне 2025 года Roundcube был полностью удален с платформы.
ИБ-специалисты полагают, что эта утечка может оказаться ценным материалом для исследователей и правоохранительных органов. Дело в том, что раскрытая информация может использоваться для получения дополнительных данных о злоумышленниках, использующих эту платформу.
Инцидент затронул всех пользователей, которые заходили в почтовый сервис с 2016 года (согласно подсчетам, это 1 023 800 человек). Также были раскрыты контактные данные еще 93 000 пользователей.
Напомним, что Cock.li — это расположенный в Германии бесплатный почтовый хостинг-провайдер, ориентированный на конфиденциальность. Сервис существует с 2013 года, и им управляет единственный администратор, известный под псевдонимом Винсент Кенфилд (Vincent Canfield). Сервис рекламируется как альтернатива обычным почтовым провайдерам и поддерживает стандартные протоколы, включая SMTP, IMAP и TLS.
В основном Cock.li используют люди, которые не доверяют крупным провайдерам, а также члены ИБ- и опенсорс-сообществ. Кроме того, сервис весьма популярен среди киберпреступников, например, связанных с вымогательскими группировками Dharma и Phobos.
Стоит отметить, что в прошлом у платформы уже возникали юридические проблемы: в 2015 году немецкие правоохранители и жесткие диски Cock.li, после того как неизвестный разослал в учебные учреждения США письма с ложным сообщением о заложенной бомбе.
В конце прошлой недели работа Cock.li неожиданно прервалась, и пользователям оставалось только гадать, что произошло.
Вскоре после этого на хак-форуме XSS появилось сообщение от злоумышленника, который заявил, что продает две базы данных с дампом Cock.li, содержащие конфиденциальную информацию о пользователях. Хакер оценил дамп как минимум в один биткоин (около 104 000 долларов по текущему курсу).
Лишь спустя несколько дней, на этой неделе на сайте Cock.li было опубликовано , подтверждающее факт взлома. Сообщается, что хакерам действительно удалось похитить информацию для 1 023 800 учетных записей, включая:
- адреса электронной почты;
- временные метки первого и последнего входа в систему;
- данные о неудачных попытках входа и их количестве;
- языковые настройки;
- сериализованный блоб настроек Roundcube и email-подпись;
- имена контактов (только для 10 400 аккаунтов);
- email-адреса контактов (только для 10 400 аккаунтов);
- vCards (только для 10 400 аккаунтов);
- комментарии (только для 10 400 аккаунтов).
В заявлении подчеркивается, что пароли пользователей, содержимое писем и IP-адреса не были скомпрометированы, поскольку их не было в украденных БД. Также сообщается, что 10 400 пользователей, у которых похитили контактную информацию третьих лиц, получат отдельные уведомления.
Теперь всем, кто пользовался сервисом с 2016 года, рекомендуется как можно скорее сбросить пароли для своих учетных записей.
В Cock.li полагают, что данные были украдены с помощью старой уязвимости SQL-инъекций в Roundcube Webmail (). При этом незадолго до взлома сервис изучал более свежую RCE-уязвимость в Roundcube (), которая уже применяется в атаках. По результатам этого анализа, в июне 2025 года Roundcube был полностью удален с платформы.
В официальном сообщении упоминается, что более эффективные методы обеспечения безопасности могли бы предотвратить взлом и утечку пользовательских данных. Также представители сервиса признают, что «Cock.li вообще не стоило использовать Roundcube».
ИБ-специалисты полагают, что эта утечка может оказаться ценным материалом для исследователей и правоохранительных органов. Дело в том, что раскрытая информация может использоваться для получения дополнительных данных о злоумышленниках, использующих эту платформу.