Le développeur du logiciel open source de gestion de projet Kaneo, Andrej Acevski, a découvert le 29 mai que quelqu’un avait abusé de sa version hébergée dans le cloud (cloud.kaneo.app) pour envoyer 14 520 e-mails d’invitation de phishing en moins de 3 heures. L’attaquant a inscrit en masse 942 comptes à l’aide d’un service d’e-mails jetables, a créé un espace de travail nommé avec un texte d’hameçonnage pour chaque compte (par exemple « 
Paul Brown from BANKING OPERATION invited you to join 3.4090_BTC receipt »), puis a utilisé la fonction d’invitation à un espace de travail de Kaneo pour envoyer environ 100 invitations à une liste de destinataires préparée à l’avance. Comme les e-mails d’invitation passaient par le domaine Resend d’Acevski, déjà validé par DKIM, chacun portait la signature d’un expéditeur légitime. En cliquant sur « Accepter », les destinataires étaient redirigés vers un lien de phishing craftum.io avec un suffixe de suivi. L’attaque a pris fin vers midi, heure de Pékin. La détection du taux d’envoi de Resend a automatiquement stoppé l’attaque environ 90 minutes après son début, et Acevski n’a été averti du quota épuisé qu’après coup.
Dans un article de blog, Acevski a souligné que l’attaque n’exploitait aucune vulnérabilité : l’attaquant s’est contenté d’« utiliser l’outil tel qu’il a été conçu ». Le problème fondamental est que les modèles de menace de l’auto-hébergement et de l’hébergement dans le cloud sont radicalement différents. Dans la version auto-hébergée, l’opérateur et l’utilisateur sont les mêmes personnes, sans motivation d’abus. Dans la version cloud, l’opérateur est responsable de la réputation du nom de domaine pour tous les e-mails envoyés par les utilisateurs via la plateforme. Le nettoyage n’a pris qu’une heure environ — une seule transaction Postgres a désactivé 942 comptes, supprimé 947 espaces de travail et cascadé la suppression de 14 533 invitations. Les mesures de durcissement ultérieures (CAPTCHA d’inscription, blocage des e-mails jetables, limitation du taux d’invitation, filtrage des noms d’espace de travail, interdiction d’invitation pour les comptes visiteurs) ont pris environ une journée. Ces modifications ne seront pas transmises aux utilisateurs auto-hébergés. Cet article a suscité une large discussion sur r/selfhosted, où les développeurs réfléchissent aux différences fondamentales de confiance entre le cloud et l’auto-hébergement.