近期,多家企业的Zendesk客户支持平台因身份验证措施不足,被网络犯罪分子利用实施规模巨大的电子邮件轰炸攻击。攻击者通过Zendesk的自动化工单系统,短时间内向目标邮箱发送数千封通知邮件,邮件署名涵盖CapCom、CompTIA、Discord、GMAC、NordVPN、The Washington Post及Tinder等知名公司。
据了解,此类滥用主要源自部分Zendesk客户允许任何人,包括匿名用户,在未验证情况下提交支持请求,导致恶意分子伪造第三方邮箱地址进行操作。Zendesk方面证实,所有自动触发的客户支持通知均以客户公司域名发出,例如The Washington Post的工单回复显示为官方邮箱地址。
针对这一问题,Zendesk表示已设有请求速率限制措施,并正在调查更多有针对性的防护方案。其发言人Carolyn Camoens建议客户务必采用身份验证流程以提交支持请求,以避免品牌被恶意滥用。
此次事件暴露了企业用户在选择工单系统配置时,放宽身份核查虽然简化流程,却也为邮件骚扰与品牌声誉风险埋下隐患。