Немецкий почтовый провайдер Cock.li стал жертвой крупномасштабной кибератаки, в результате которой злоумышленники получили доступ к персональным данным более 1 миллиона пользователей. Инцидент произошел из-за эксплуатации критической уязвимости SQL-инъекции в популярном веб-клиенте Roundcube Webmail.
Масштаб компрометации и пострадавшие данные
Согласно официальному заявлению администрации сервиса, атака затронула 1 023 800 учетных записей пользователей, которые обращались к почтовому сервису начиная с 2016 года. Дополнительно были скомпрометированы контактные данные еще 93 000 пользователей, что делает этот инцидент одним из наиболее серьезных нарушений безопасности в сфере приватных почтовых сервисов.
Важно отметить, что в результате утечки не пострадали пароли пользователей, содержимое электронных писем и IP-адреса, поскольку эта информация хранилась в отдельных базах данных, которые остались недоступными для злоумышленников.
Техническая сторона атаки: эксплуатация CVE-2021-44026
Расследование инцидента показало, что хакеры воспользовались известной уязвимостью CVE-2021-44026 — SQL-инъекцией в Roundcube Webmail. Эта уязвимость позволяет злоумышленникам выполнять произвольные SQL-запросы к базе данных приложения, получая несанкционированный доступ к хранящейся информации.
Парадоксально, но незадолго до атаки команда Cock.li изучала более свежую RCE-уязвимость в Roundcube (CVE-2025-49113), которая уже активно эксплуатируется в дикой природе. По результатам этого анализа в июне 2025 года Roundcube был полностью удален с платформы.
Особенности сервиса и его пользовательская база
Cock.li представляет собой бесплатный почтовый хостинг-провайдер, ориентированный на конфиденциальность и управляемый единственным администратором под псевдонимом Винсент Кенфилд. Сервис, работающий с 2013 года, позиционируется как альтернатива крупным коммерческим провайдерам и поддерживает стандартные протоколы SMTP, IMAP и TLS.
Основную аудиторию платформы составляют представители ИБ-сообщества, энтузиасты открытого программного обеспечения, а также пользователи, не доверяющие крупным технологическим корпорациям. К сожалению, сервис также популярен среди киберпреступников, включая участников вымогательских группировок Dharma и Phobos.
Хронология событий и реакция на инцидент
Первые признаки проблем появились в конце прошлой недели, когда работа Cock.li внезапно прервалась без объяснения причин. Вскоре на хакерском форуме XSS появилось предложение о продаже двух баз данных с информацией пользователей сервиса. Злоумышленник оценил стоимость дампа минимум в один биткоин (около 104 000 долларов США).
Официальное подтверждение взлома последовало лишь через несколько дней, когда администрация опубликовала детальное заявление о произошедшем инциденте. Всем пользователям, активным с 2016 года, настоятельно рекомендуется немедленно сменить пароли своих учетных записей.
Последствия для индустрии кибербезопасности
Представители администрации Cock.li признали, что более эффективные методы обеспечения безопасности могли бы предотвратить данный инцидент. В официальном сообщении отмечается: «Cock.li вообще не стоило использовать Roundcube». Сервис больше не планирует предлагать веб-интерфейс Roundcube пользователям.
Эксперты по информационной безопасности отмечают, что данная утечка может представлять значительную ценность для исследователей и правоохранительных органов, поскольку раскрытая информация потенциально может использоваться для идентификации злоумышленников, активно использующих данную платформу.
Инцидент с Cock.li служит очередным напоминанием о критической важности своевременного обновления программного обеспечения и применения комплексного подхода к обеспечению кибербезопасности. Организациям следует регулярно проводить аудит безопасности используемых решений и незамедлительно устранять выявленные уязвимости, особенно в компонентах, обрабатывающих конфиденциальную пользовательскую информацию.
