Projet open source utilisé pour phisher 14 000 personnes

Introduction

Un projet open source que j'ai créé a été utilisé pour phisher 14 000 personnes. Le projet, appelé Kaneo, est un outil de gestion de projet simple et léger, conçu pour les développeurs. Une version cloud est disponible pour que les utilisateurs puissent essayer le projet sans avoir à configurer une base de données.

Contexte Technique

Le problème a commencé lorsque quelqu'un a créé 949 comptes avec des adresses e-mail jetables et a envoyé des invitations de phishing à des inconnus. Les invitations ont été envoyées à partir de mon domaine vérifié, ce qui les rendait difficiles à distinguer des invitations légitimes. L'attaquant a utilisé le projet exactement comme prévu, sans exploiter de vulnérabilités ou de failles de sécurité.

Analyse et Implications

L'attaque a mis en évidence les risques liés aux projets open source avec une version cloud. Le modèle de menace d'un projet open source est différent de celui d'une application self-hosted, car les utilisateurs de la version cloud peuvent être des inconnus qui utilisent le projet à des fins malveillantes. L'attaquant a pu utiliser mon projet pour phisher des personnes en raison de la confiance accordée à mon domaine et à mon adresse IP.

Perspective

Pour prévenir de telles attaques à l'avenir, j'ai mis en place des mesures de sécurité telles que le captcha, la limitation de débit et le filtrage des noms d'espaces de travail. J'ai également décidé de restreindre la version cloud pour qu'elle ne soit plus accessible aux comptes invités et de bloquer les adresses e-mail jetables. Il est important de considérer les risques liés aux projets open source avec une version cloud et de prendre des mesures pour protéger les utilisateurs et prévenir les abus.