FSF mencoba menghubungi Google terkait pengiriman lebih dari 10 ribu email spam dari akun Gmail

 (daedal.io)
1 poin oleh GN⁺ 4 hari lalu | 1 komentar | Bagikan ke WhatsApp
  • Free Software Foundation (FSF) mengonfirmasi bahwa email spam dalam jumlah besar telah dikirim melalui sebuah akun Gmail
  • Dilaporkan bahwa lebih dari 10 ribu email telah dikirim dari akun tersebut
  • FSF sedang mencoba menghubungi Google secara langsung untuk menyelesaikan masalah ini
  • Pelaku pengirim spam diketahui menggunakan Gmail untuk mengirim email atas nama FSF
  • Kasus ini kembali menyoroti pentingnya kredibilitas organisasi open source dan pengelolaan keamanan email

Ringkasan kejadian

  • FSF mengonfirmasi insiden pengiriman email spam massal akibat penyalahgunaan akun Gmail
  • Karena pengiriman dilakukan melalui Gmail, bukan sistem internal, muncul dugaan kompromi pada akun eksternal
  • FSF segera mencoba menghubungi Google dan sedang menjalankan prosedur pemblokiran akun serta penelusuran penyebabnya

Dampak dan tanggapan

  • Email spam dikirim atas nama FSF sehingga dikhawatirkan dapat memengaruhi kredibilitas organisasi
  • FSF menyarankan anggota dan pelanggan untuk tidak membuka email yang mencurigakan
  • Bergantung pada hasil tanggapan Google, langkah keamanan tambahan dan pemberitahuan lanjutan akan dilakukan

Bacaan terkait

1 komentar

 
GN⁺ 4 hari lalu
Komentar Hacker News

  • Saya pernah mencoba menyelesaikan masalah seseorang yang menyamar sebagai saya dan bisnis saya untuk melakukan penipuan lewat alamat Gmail, lalu membuat laporan polisi dan mengirimkannya ke tim legal Google lewat surat tercatat
    Prosesnya cukup merepotkan dan memakan waktu sekitar 3 jam, tetapi itu prosedur yang benar-benar diperlukan karena tidak ada cara lain

    • Ini terjadi kira-kira sebulan lalu. Saya bagikan alamat yang saya kirim kalau memang membantu
      Google LLC, Attn: Legal Department – Custodian of Records, 1600 Amphitheatre Parkway, Mountain View, CA 94043
      Di surat itu saya menulis situasinya dan tindakan yang saya inginkan (penutupan akun Gmail tersebut dan permintaan penyimpanan IP), lalu melampirkan cetakan thread email dari korban penipuan dan laporan polisi
      Sekitar seminggu kemudian Google menghubungi saya dan mengonfirmasi bahwa akun itu sudah ditutup. Namun saya tidak tahu apakah data benar-benar disimpan atau apakah ada tindakan lain di layanan mereka
      Saya juga melapor ke Internet Crime Complaint Center milik FBI, tetapi sejujurnya itu terasa hanya sebagai formalitas
    • Kedengarannya ide yang bagus. Akun YouTube Premium saya juga pernah terkunci tapi tagihannya tetap berjalan
      Karena dukungan hanya bisa dihubungi kalau sudah login, akhirnya satu-satunya jalan adalah mengganti nomor kartu kredit
      Bahkan setelah itu tagihan masih terus muncul, dan penerbit kartu bilang saya harus menutup akunnya sepenuhnya
    • Memang begitulah caranya. Jejak dokumen (paper trail) membuat semua tanggung jawab jadi jelas
    • Saya penasaran apakah Anda menyebutkan di surat itu bahwa Anda seorang pengacara. Mungkin Google merespons berbeda jika menganggapnya sebagai dokumen dari firma hukum
    • Tapi saya penasaran apakah tidak ada cara untuk mencegah orang itu mencoba lagi dengan alamat Gmail baru

  • Saya pernah mencoba membuat laporan abuse ke Google, Amazon, dan Microsoft, lalu menyerah
    Laporan diabaikan, dan penyedia besar itu tidak melakukan apa-apa. Saya berharap FSF bisa turun tangan dan mengubah sesuatu
    Saat ini sumber utama spam adalah tiga tempat itu. Sudah terlalu besar sampai hampir tidak mungkin diblokir
    Saya rasa ini akibat kita membiarkannya. Bukankah di diskusi ini juga kebanyakan orang memakai Gmail sebagai email utama?

    • Selama beberapa hari saya melaporkan akun bot di YouTube, tetapi yang muncul justru popup yang bilang “kalau terlalu banyak laporan palsu, akun Anda bisa ditangguhkan”
      Google tampaknya bukan benar-benar tidak mampu menangani bot, melainkan sejak awal bahkan tidak berusaha
    • Ini pada dasarnya adalah monopoli (monopoly). Ada orang yang menjalankan server email sendiri demi kemandirian, tetapi di Gmail mereka sering diklasifikasikan sebagai spam
      Standar seperti DMARC justru menciptakan struktur yang memberi perusahaan besar lebih banyak pengaruh
    • Saya tidak begitu, tetapi kebanyakan orang enggan membayar 10 dolar per bulan
      Mereka menilai satu email hanya setara harga segelas bir

  • Tim sales di perusahaan kami mengirim email massal memakai Gmass, dan kalau laporan spam-nya banyak Google akan menangguhkan akunnya
    Saya rasa ini data yang layak dicatat karena menunjukkan bahwa Google memang melakukan pemantauan penyalahgunaan email

    • Itu terlalu lemah untuk disebut ‘pemantauan yang kuat’. Keberadaan alat seperti Gmass saja sudah memalukan
    • Dari ceritanya, tim sales perusahaan Anda terdengar pada dasarnya seperti spammer
    • Saya penasaran apakah email yang dikirim tim sales itu cold email, atau ditujukan ke pelanggan yang sudah ada
    • Pelaporan spam hanya bisa dilakukan lewat antarmuka web Gmail, jadi organisasi seperti FSF sulit bahkan untuk sekadar melapor
    • Jika pemantauan hanya bekerja di Gmail, maka pengguna non-Gmail tidak punya cara untuk melaporkan spam yang dikirim dari Gmail
      Google memberi dampak buruk pada sisi penerimaan dalam ekosistem email

  • Dari pengamatan selama 2–3 tahun terakhir saat menjalankan 4 server postfix, Gmail sekarang sudah sampai pada level tidak bisa dimasukkan whitelist
    Spam dan phishing terlalu banyak
    Sebaliknya, kalau pengguna mengalihkan notifikasi Twitter atau LinkedIn ke Gmail, Google memblokir IP dengan alasan “mengirim terlalu cepat”
    Situasinya benar-benar ironis sekaligus menyedihkan

  • Belakangan ini saya melihat akun email pribadi di server saya menerima banyak email dalam waktu singkat
    Semuanya diteruskan lewat Google Groups, dengan ID grup yang selalu berbeda, dan ketika dicek belakangan grupnya sudah dihapus
    Isi email tampak seperti autoresponder yang sah, tanpa tautan berbahaya atau iklan
    Kemungkinan ada bot yang membuat Google Group, lalu mendaftarkan email acak sebagai subscriber, kemudian memasukkan alamat itu ke berbagai web form
    Saya paham cara kerjanya, tetapi saya penasaran kenapa sampai repot-repot melakukan ini

    • Ini hampir pasti subscription bombing. Serangan ini membanjiri inbox korban dengan email otomatis yang sah agar mereka melewatkan email penting seperti reset kata sandi
    • Saya juga mengalami masalah yang sama. Kalau seseorang membalas, semua subscriber menerima email itu sehingga balasan “tolong keluarkan saya dari daftar ini” ikut membanjir
      Akhirnya saya membuat aturan unsubscribe untuk memblokirnya

  • Saya ingin bertanya apakah sudah saatnya komunitas IT menganggap dan memblokir layanan seperti Gmail, yang ‘terlalu besar untuk diblokir’, sebagai entitas yang bermusuhan

    • Sebenarnya tidak ada yang namanya ‘komunitas IT’. Kebanyakan pekerja IT berada di Google atau perusahaan sejenis
      Jadi perubahan seperti itu hanya mungkin secara teoretis.
      Di dunia fisik kita menjelaskan perubahan dengan gaya dan massa, tetapi terhadap manusia kita cuma bicara soal harapan “andai saja”
    • Microsoft bahkan tidak meneruskan email yang sah ke hotmail.com
      Saya sudah mengatur SPF, DMARC, dan DKIM, dan saya juga tidak mengirim spam, tetapi tetap diblokir
      Jadi untuk pengguna hotmail saya akhirnya menghubungi lewat telepon

  • Saya dulu menerima panggilan spam setiap 5 menit, tetapi penyerangnya tanpa sengaja meninggalkan URL bucket AWS
    Setelah saya membuat laporan abuse ke Amazon, grup spam itu langsung dibubarkan dan setelah itu panggilan pun berhenti
    Saat melapor, kalau Anda bilang “ada pornografi atau gambar tidak pantas”, mungkin penanganannya bisa lebih cepat

  • Gmail, Outlook, dan Salesforce menyumbang 90% dari seluruh spam
    Salesforce bisa diatasi dengan pemblokiran jaringan, tetapi Gmail dan Outlook tidak ada jalan keluarnya

    • Dulu Azure dan Sendgrid juga penuh spam, tetapi sekarang hampir hilang
      Sekarang justru Google Cloud menyumbang 80% spam
    • Salesforce tampaknya di-whitelist oleh Gmail. Email tak bergunanya terlalu banyak
    • Mailchimp juga sama. Dari semua email Mailchimp yang pernah saya terima, tidak ada satu pun yang bukan spam

  • Secara realistis, satu-satunya cara adalah menyewa layanan pelaporan bot untuk melaporkan akun bermasalah secara massal

  • Belakangan ini spam dari domain “.bc.googleusercontent.com” melonjak tajam

    • Tergantung konfigurasi server email, tetapi saya mungkin akan menolak semua email dari googleusercontent.com dengan 5xx
      Sejak Google mengklasifikasikan mailing list OpenBSD sebagai spam, saya menjalankan server MX sendiri
      Jika Anda punya pelanggan, analisis log untuk melihat apakah ada trafik yang benar-benar sah, lalu secara default tandai sebagai spam
      Kalau ada workflow internal yang memakai Google, gantilah dengan VPN atau cara lain
      Idealnya blokir SMTP untuk seluruh googleusercontent.com
      Namun karena mungkin ada sistem lama, Anda bisa mengujinya bertahap selama beberapa bulan, atau langsung memblokir semuanya lalu melihat hasilnya