في 29 مايو، اكتشف أندري آسيفسكي، مطور أداة إدارة المشاريع مفتوحة المصدر Kaneo، أن شخصًا ما أساء استخدام نسخة الاستضافة السحابية (cloud.kaneo.app) لإرسال 14,520 رسالة بريد إلكتروني احتيالية للدعوة في أقل من 3 ساعات. قام المهاجم بالتسجيل الجماعي لـ 942 حسابًا باستخدام خدمة البريد الإلكتروني المؤقت، وأنشأ لكل حساب مساحة عمل تحمل اسمًا احتياليًا (على سبيل المثال، “
قام Paul Brown من BANKING OPERATION بدعوتك للانضمام إلى 3.4090_BTC receipt”)، ثم استخدم ميزة دعوة مساحة العمل في Kaneo لإرسال حوالي 100 دعوة لكل قائمة من المستلمين المعدة مسبقًا. نظرًا لأن رسائل الدعوة تم إرسالها عبر نطاق Resend الذي اجتاز التحقق من DKIM الخاص بـ Acevski، فقد حملت كل رسالة توقيع مرسل شرعي، وعندما ينقر المستلم على “قبول”، يتم إعادة توجيهه إلى رابط التصيد الاحتيالي على craftum.io مع لاحقة تتبع. انتهى الهجوم حوالي الساعة 12:00 ظهرًا بتوقيت بكين، وأوقف اكتشاف معدل Resend تلقائيًا الهجوم بعد حوالي 90 دقيقة من بدايته، وعلم Acevski باستنفاد الحصة عندما فات الأوان.
أشار Acevski في منشور مدونته إلى أن الهجوم لم يستغل أي ثغرة أمنية، بل إن المهاجم “استخدم الأداة كما كانت مصممة”. يكمن جذر المشكلة في أن نماذج التهديد للمستضافة ذاتيًا والمستضافة سحابيًا مختلفة جوهريًا: مشغلو الإصدار المستضاف ذاتيًا هم نفس مجموعة المستخدمين، وليس لديهم حافز لإساءة الاستخدام؛ بينما في الإصدار السحابي، يتحمل المشغل مسؤولية سمعة النطاق لجميع رسائل البريد الإلكتروني المرسلة عبر النظام الأساسي من قبل المستخدمين. استغرق التنظيف حوالي ساعة واحدة فقط – معاملة Postgres واحدة حظرت 942 حسابًا، وحذفت 947 مساحة عمل، وحذفت بشكل متتالي 14,533 دعوة. استغرقت إجراءات التعزيز اللاحقة (رمز التحقق للتسجيل، حظر البريد الإلكتروني المؤقت، تحديد معدل واجهة الدعوات، تصفية أسماء مساحات العمل، تعطيل إرسال الدعوات للحسابات الضيفة) حوالي يوم واحد، ولن يتم إصدار هذه التغييرات للمستخدمين المستضافين ذاتيًا. أثار هذا المنشور نقاشًا واسعًا في r/selfhosted، حيث تأمل المطورون الاختلافات الجوهرية في حدود الثقة بين الاستضافة السحابية والاستضافة الذاتية.