Німецький приватний поштовий провайдер Cock.li став об’єктом серйозної кібератаки, внаслідок якої зловмисники отримали доступ до персональної інформації понад 1 мільйона користувачів. Інцидент стався через експлуатацію критичної вразливості SQL-ін’єкції у веб-клієнті Roundcube Webmail, що підкреслює важливість своєчасного оновлення програмного забезпечення.
Обсяг компрометації та втрачені дані
За офіційними даними адміністрації сервісу, атака торкнулася 1 023 800 облікових записів користувачів, які користувалися поштовим сервісом з 2016 року. Додатково було скомпрометовано контактну інформацію ще 93 000 користувачів, що робить цей інцидент одним із найбільших порушень безпеки серед приватних поштових провайдерів.
Важливо зазначити, що паролі користувачів, зміст електронних листів та IP-адреси залишилися в безпеці, оскільки ця інформація зберігалася в окремих базах даних, до яких зловмисники не змогли отримати доступ. Це обмежило масштаб потенційної шкоди від атаки.
Технічні деталі: експлуатація вразливості CVE-2021-44026
Розслідування показало, що хакери використали відому вразливість CVE-2021-44026 – SQL-ін’єкцію в Roundcube Webmail. Ця вразливість дозволяє зловмисникам виконувати довільні SQL-запити до бази даних додатку, отримуючи несанкціонований доступ до збереженої інформації.
Цікаво, що незадовго до атаки команда Cock.li досліджувала більш свіжу RCE-вразливість у Roundcube (CVE-2025-49113), яка вже активно експлуатується в дикій природі. За результатами цього аналізу в червні 2025 року Roundcube було повністю видалено з платформи.
Характеристика сервісу та його аудиторія
Cock.li є безкоштовним поштовим хостинг-провайдером, зорієнтованим на конфіденційність та керованим єдиним адміністратором під псевдонімом Вінсент Кенфілд. Сервіс, що працює з 2013 року, позиціонується як альтернатива великим комерційним провайдерам і підтримує стандартні протоколи SMTP, IMAP та TLS.
Основну аудиторію платформи складають представники ІБ-спільноти, ентузіасти відкритого програмного забезпечення, а також користувачі, які не довіряють великим технологічним корпораціям. На жаль, сервіс також популярний серед кіберзлочинців, включаючи учасників вимагальницьких угруповань Dharma та Phobos.
Хронологія подій та реакція на інцидент
Перші ознаки проблем з’явилися наприкінці минулого тижня, коли робота Cock.li раптово припинилася без пояснення причин. Незабаром на хакерському форумі XSS з’явилася пропозиція про продаж двох баз даних з інформацією користувачів сервісу. Зловмисник оцінив вартість дампу мінімум в один біткоїн (приблизно 104 000 доларів США).
Офіційне підтвердження злому надійшло лише через кілька днів, коли адміністрація опублікувала детальну заяву про інцидент. Всім користувачам, активним з 2016 року, наполегливо рекомендується негайно змінити паролі своїх облікових записів.
Наслідки для індустрії кібербезпеки
Представники адміністрації Cock.li визнали, що більш ефективні методи забезпечення безпеки могли б запобігти цьому інциденту. В офіційному повідомленні зазначається: “Cock.li взагалі не варто було використовувати Roundcube”. Сервіс більше не планує пропонувати веб-інтерфейс Roundcube користувачам.
Експерти з інформаційної безпеки відзначають, що ця витік може представляти значну цінність для дослідників та правоохоронних органів, оскільки розкрита інформація потенційно може використовуватися для ідентифікації зловмисників, які активно користуються цією платформою.
Інцидент з Cock.li слугує черговим нагадуванням про критичну важливість своєчасного оновлення програмного забезпечення та застосування комплексного підходу до забезпечення кібербезпеки. Організаціям слід регулярно проводити аудит безпеки використовуваних рішень та негайно усувати виявлені вразливості, особливо в компонентах, що обробляють конфіденційну користувацьку інформацію.
