Email Bombs Exploit Lax Authentication in Zendesk
7 months ago
- #Zendesk
- #cybersecurity
- #email-spam
- 网络犯罪分子正利用Zendesk缺乏身份验证的漏洞,从多家企业客户域名发送威胁性邮件
- Zendesk作为允许匿名提交工单的客服平台,其功能正被滥用于垃圾邮件传播
- 恶意邮件可包含任意主题内容,包括伪造的执法部门调查通知或个人侮辱信息
- 这些邮件显示来自客户域名(如help@washpost.com),而非Zendesk官方地址
- Zendesk承认该漏洞,但解释称部分客户因业务需求坚持保留匿名提交功能
- 匿名提交机制使垃圾邮件发送者可伪造任意发件地址,导致海量垃圾通知
- Zendesk虽设有速率限制,但未能阻止短时间内爆发的信息洪流
- Zendesk建议客户启用身份验证工作流来防范滥用
- 舆论批评:匿名提交功能应默认关闭或彻底移除以杜绝滥用