Az amerikai VFEmail webmail-szolgáltató főoldalán hétfőn jelent meg egy piros betűkkel szedett üzenet, amelyben arról tájékoztatják a felhasználókat, hogy egy hekkertámadás "katasztrofális pusztítást" végzett a cég infrastruktúrájában, elpusztítva az Egyesült Államokban tárolt adatokat, beleértve az elsődleges rendszereket és a backup rendszereket is. Bár a bejelentés szerint javában dolgoznak az adatok visszaállításán, azt a cég is elismeri, hogy az állományok jó része biztosan megsemmisült: egyetlen fájlszerverük esetében látnak rá esélyt, hogy az adatoknak legalább egy részét meg tudják menteni.

Érdemes megemlíteni, hogy a VFEmail szerint nem volt szó zsarolási kísérletről és arra utaló jelek sincsenek, hogy a támadók bármit meg akartak volna szerezni a szolgáltató szervereiről. Sőt az sem számít, hogy az adatokat titkosított formában tárolták, mivel a hekkerek válogatás nélkül mindent letöröltek a lemezekről. A virtuális gépek ugyancsak megsemmisültek, annak ellenére, hogy azok eléréséhez különböző autentikációra volt szükség, vagyis valószínűsíthető, hogy a támadás előkészítéséhez belülről származó információra volt szükség.

Ebben a tekintetben a cég úgy látja, hogy a többfaktoros azonosítás sem sokat segített volna, hiszen a támadók most is minimum három különböző metódust alkalmaztak, hogy megszerezzék a szükséges hozzáféréseket. Az sem meglepő, hogy a találgatások személyes bosszúról, esetleg valamilyen inkriminált tartalom véglegese megsemmisítéséről szólnak, miután úgy tűnik, hogy a rombolásnak nem volt semmilyen közvetlen, anyagi jellegű motivációja. Bár a szolgáltatás részlegesen újraindult, a beszámolók szerint eltűntek a fiókbeállítások – ami abból a szempontból érdektelen, hogy a boxok tartalma sem elérhető.

Nem kellett volna teljesen lenullázódniuk

A VFEmail még 2001-ben indult, miután az ILOVEYOU vírus világszerte végigsöpört a felhasználókon: a szolgáltatás elsődleges célja az volt, hogy mindenkit megvédjen a hasonló kockázatoktól, minden egyes beérkező üzenetet megvizsgálva és a lehetséges malware-ek után kutatva. A VFEmail-nek már korábban is meggyűlt a baja egy-egy nagyszabású támadással, igaz, akkor nem került veszélybe a cég teljes üzlete. Néhány évvel ezelőtt egy DDoS-támadássorozatot szenvedtek el, amelynek esetében az elkövetők pénzt próbáltak szerezni az akció leállításának fejében, egy másik esetben pedig a VFEmail infrastuktúra-szolgáltatójának lecserélésével végződött egy, a mostanihoz hasonló kísérlet.

Az eset tanulságait a biztonsági szakértők már ízekre szedték (itt például egy elég kimerítő összeállítás olvasható), a lényeg pedig az, hogy bármelyik vállalkozás üzletét lenullázhatja egy hasonló biztonsági incidens. Többen kiemelik, hogy a jelek szerint a VFEmail nem igazán rendelekzett adekvát helyreállítási tervekkel, nem működtetett párhuzamosan online és offline backup megoldásokat (a production és backup folyamatok eleve ugyanott futottak), és nem használt a kiemelt jogosultsággal rendelkező felhasználókat kezelő (Privileged Access Management – PAM) megoldást sem. Bár az incidens részletei még mindig nem világosak, a levelezőszolgáltatás tulajdonképpen egy "brute force" vagy "credential stuffing" típusú támadásnak esett áldozatul, ami a naprakész eljárások és technológiák alkalmazásával egyáltalán nem lett volna szükségszerű.