Уязвимость механизма пересылки Gmail и Outlook грозит спуфингом отправителя

Уязвимость механизма пересылки Gmail и Outlook грозит спуфингом отправителя

Уязвимость механизма пересылки Gmail и Outlook грозит спуфингом отправителя

В нескольких реализациях функции автоматической пересылки писем выявлены уязвимости, позволяющие обойти защиту и подделать домен отправителя. Проблема затрагивает тысячи организаций, доверивших отправку своей почты Microsoft, Apple либо Google.

В ходе исследования сборная команда из университетов Калифорнии (Сан-Диего), Стэнфорда и Твенте (Нидерланды) обнаружила, что почтовые сервисы Gmail, iCloud, Outlook, индийский Zohomail не верифицируют адрес отправителя при переадресации почты. Подобное упущение открывает возможность для спуфинга, ставя под удар, в числе прочих, правительство США и более 12% компаний списка Alexa 100K (Mastercard, GoDaddy, Associated Press, Washington Post, Docusign и проч.).

Для проведения атаки злоумышленнику лишь потребуется создать учетную запись для пересылки писем и добавить поддельные адреса в белый список. Отправлять поддельные сообщения можно со специально открытого аккаунта или собственного сервера.

По оценкам исследователей, найденные ими уязвимости затрагивают примерно 1,9 млрд пользователей в разных странах, а также 32% доменов .gov. Результаты исследования были представлены на конференции IEEE по безопасности и приватности, проведенной в минувшем июле в Делфте, Нидерланды.

Провайдерам были отправлены уведомления о находках; Zoho и Google проблему решили с помощью патчей, Microsoft подтвердила наличие уязвимостей, в iCloud тоже пока не нашли адекватного решения. Пользователям рекомендуется отключить автопересылку, а поставщикам почтовых услуг — перестать слепо доверять сообщениям, получаемым от коллег по цеху.

Телега начала возвращать деньги за подписку «Телега Плюс»

История с альтернативным телеграм-клиентом Телега получила продолжение. После объявления о прекращении работы команда проекта сообщила, что уже начала автоматически возвращать пользователям деньги за подписку «Телега Плюс».

Возвраты стартовали сразу после решения о закрытии сервиса. В компании подчеркивают: никаких заявлений подавать не нужно.

Деньги вернут автоматически, а пользователям отправят электронные чеки. Весь процесс может занять до недели.

Если подписка была оформлена после 27 мая 2026 года, стоимость компенсируют полностью. Тем, кто купил трехмесячный тариф раньше этой даты, вернут сумму за неиспользованный период.

Разработчики отдельно предупредили о возможных мошенниках. По их словам, команда не рассылает сообщения, не просит сообщить коды подтверждения и не отправляет ссылки для оформления возврата.

Напомним, о закрытии Телега стало известно 26 июня. Проект официально прекратит работу с 1 июля 2026 года. В качестве причин разработчики назвали невозможность обеспечить полное соответствие действующим требованиям для телеграм-клиентов, а также внешние ограничения, включая удаление приложения из App Store.

Любопытно, что еще совсем недавно ситуация выглядела прямо противоположной. В мае команда запустила подписку «Телега Плюс» стоимостью 99 рублей в месяц (или 1 рубль в первый месяц для новых пользователей), объяснив это резким ростом аудитории и необходимостью расширять серверные мощности.

Подписчикам обещали приоритетный доступ к сервису во время высокой нагрузки, подчеркивая, что речь идет не об аналоге Telegram Premium, а о механизме стабильного подключения.

Более того, из-за наплыва пользователей разработчикам даже пришлось временно ограничить регистрацию новых аккаунтов.

Однако спустя чуть больше месяца проект фактически свернул работу. Теперь команда сосредоточилась на том, чтобы корректно завершить сервис и вернуть деньги пользователям, оформившим подписку.

RSS: Новости на портале Anti-Malware.ru