背景

近期 Hacker News 社群出現大量討論，指出 Zendesk 平台正遭受新一波的郵件轟炸攻擊。許多使用者在短時間內收到數百封甚至上千封來自不同企業 Zendesk 頁面的帳號啟動或工單確認信件，受害者大多擁有公開的 GitHub 電子郵件地址，顯示這是一場針對開發者群體的自動化攻擊。

社群觀點

這場攻擊被認為是利用了 Zendesk 系統邏輯的漏洞。根據社群成員的觀察，攻擊者最初發現可以在無需登入的情況下，於 Zendesk 託管的技術支援論壇開設新工單，並在內容中塞入詐騙連結，隨後將受害者的郵件地址填入作者欄位。由於 Zendesk 的預設機制會將工單內容寄送給「作者」確認，這使得 Zendesk 實際上變成了一個發送垃圾郵件的開放中繼站。儘管 Zendesk 隨後加強了驗證機制，要求先激活帳號才能建立工單，但攻擊者隨即轉向「註冊轟炸」，利用大量自動化腳本在成千上萬個 Zendesk 站點嘗試註冊受害者的郵件，導致受害者信箱被無意義的帳號啟動信淹沒。

討論中不少使用者指出，攻擊者使用的郵件地址來源顯然經過篩選，除了 GitHub 提交紀錄中的公開郵件外，還針對擁有萬用字元域名（Wildcard Domain）的使用者進行掃描。有趣的是，這次攻擊出現了特定的命名規律，許多信件是寄往以知名網站名稱或爭議性公眾人物（如 Diddy 或 Epstein）命名的前綴地址。部分技術專家分析，這種「註冊轟炸」除了傳遞可能的釣魚連結外，另一種常見的惡意意圖是為了掩蓋真正的安全警報。當受害者的信箱被數千封垃圾郵件淹沒時，很可能會忽略掉來自銀行或重要服務的異常登入通知。

社群對於 Zendesk 的應對態度普遍感到不滿。有觀點認為 Zendesk 作為一家以郵件為核心業務的企業，在防止系統被濫用方面的表現過於天真。雖然曾任職於 Zendesk 的工程師出面澄清核心團隊具備專業的郵件技術知識，但他也承認產品端在基礎設施配置的控制權上確實有所限制。許多使用者批評 Zendesk 的信譽評等正因這些攻擊而大幅下滑，雖然像 Gmail 這樣的大型服務商能過濾掉大部分攻擊郵件，但仍有部分信件成功進入收件匣。此外，也有人指出這反映了企業軟體市場的通病：為了降低使用者門檻，預設關閉了許多安全驗證功能（如 Captcha），最終導致平台成為攻擊者的溫床。

延伸閱讀

針對此類攻擊，社群成員分享了應對工具與相關資訊。若使用者使用支援 Sieve 腳本的郵件服務（如 Fastmail 或 Proton Mail），可以參考 GitHub Gist 上分享的過濾腳本，透過識別 Zendesk 特有的郵件標頭或腳本特徵來阻擋轟炸。此外，Zendesk 官方雖然發布了相關的安全公告，但被社群批評內容過時且未能有效解決當前的註冊轟炸問題。

• 針對 Zendesk 郵件轟炸的 Sieve 過濾腳本
• Zendesk 官方關於預防垃圾郵件的說明文件