Proofpoint menyalahkan konfigurasi pengguna yang lemah sebagai punca kepada satu serangan spam yang dikaitkan dengan platform mereka pada bulan Ogos, dengan seorang pegawai kanan syarikat menyatakan bahawa tanggungjawab terletak pada pelanggan.
Dalam satu sesi media sempena Proofpoint Protect London 2024, Ryan Kalember, EVP strategi siber di Proofpoint, menyebut bahawa, secara umumnya, sebarang sistem keselamatan “boleh dikonfigurasikan dengan cara yang tidak baik.” Dia menjawab kepada pertanyaan dari ITPro.
Kalember merujuk secara khusus kepada kempen spam yang berlaku awal tahun ini, yang mungkin menghantar puluhan juta emel. Dia mengatakan bahawa pengguna telah mengkonfigurasi tetapan mereka sehingga sistem akan “percaya kepada apa saja” daripada penyewa Microsoft.
Pada masa itu, syarikat keselamatan itu menyatakan bahawa “punca utama” masalah ini adalah ciri konfigurasi yang boleh diubah pada pelayan Proofpoint yang membolehkan pemindahan mesej keluar daripada penyewa Microsoft 365 tanpa menentukan penyewa mana yang dibenarkan.
“Ini adalah masalah yang rumit bagi kami kerana dalam model tanggungjawab bersama ini, kami tidak akan memaksa pelanggan kami untuk mengubah konfigurasi terkena kepercayaan terhadap Microsoft,” kata Kalember.
“Jadi, kami perlu memberi dorongan yang progresif, lebih tegas dari semasa ke semasa untuk berkata, ‘Hei, kami sangat mahu anda tidak melakukan ini, kerana ini sedang dibalikkan daripada anda dari Microsoft dan dihantar kepada orang lain,’” tambahnya.
Walaupun dia berpendapat Proofpoint adalah “langkah perantaraan,” Kalember mengakui bahawa mereka merasa “salah” tentang isu ini dan tidak “mahu perkara ini berlaku.” Pada masa yang sama, “kami juga tidak boleh mengubah sepenuhnya konfigurasi pelanggan kami tanpa berbincang dengan mereka dan bekerjasama.”
“Kami sebenarnya sedang mengadakan perbincangan menarik di dalam syarikat tentang sejauh mana agresifnya kami perlu memberitahu orang bahawa mereka telah melakukan sesuatu yang tidak bijak dengan konfigurasi produk mereka,” tambahnya.
Dia menyebut bahawa syarikat telah mempertimbangkan untuk menjadikan konfigurasi ini “sangat sukar dilakukan”, mengikuti pendekatan AWS terhadap S3 buckets. Kalember berpendapat, di mana bucket S3 seringkali dibiarkan terbuka, Amazon kini “menjadikannya sangat sukar” untuk berbuat demikian.
“Kami sedang berusaha untuk mengadopsi lebih banyak prinsip semacam itu dalam cara produk kami boleh dikonfigurasi secara berisiko,” kata Kalember.
Spam dihantar melalui platform anti-phishing Proofpoint
Yang dikenali sebagai “EchoSpoofing” menurut laporan dari Guardio Labs, kempen spam yang asal yang melibatkan Proofpoint menyaksikan emel palsu muncul dalam peti masuk pelanggan Proofpoint seperti Disney dan Coca-Cola.
Emel-emel ini disahkan menggunakan Sender Policy Framework (SPF) dan DomainKeys Identified Mail (DKIM) akibat daripada kaedah kempen tersebut, dan Guardio menganggarkan bahawa sebanyak tiga juta emel boleh dihantar setiap hari oleh penyerang.
Penyerang dilaporkan menghantar “kelompok cepat” ribuan emel ke Microsoft 365 yang kemudiannya disalurkan ke pelayan Proofpoint.
Proofpoint menyatakan pada masa itu bahawa mereka telah memudahkan permukaan pentadbiran mereka supaya pelanggan dapat lebih berkesan menetapkan emel mana yang seharusnya disalurkan berikutan isu ini, sambil menambah bahawa tiada data pelanggan yang hilang atau terdedah.