在有人发现外部用户可以回复内部邮件列表后,陷入“回复所有人”困境的AT&T客户把自己的姓名和电子邮件地址都删掉了。
根据黑客新闻(Hackers News)上的一篇文章以及网络安全研究员兼教育家约翰·哈蒙德(John Hammond)的一段后续视频,事件始于一位名叫亚历克斯·凯利(Alex Kelly)的AT&T客户回复了一封来自该电信公司的电子邮件,该电子邮件被发送到了一个奇怪的地址:DONOTUSEPOD1NON@list.att.com。
他们写道:“这是一个测试,看看外部用户是否可以向AT&T的内部邮件列表发送最新的邮件故障。”很快,收到亚历克斯邮件的其他客户也纷纷回复。
“这将是一个很长的电子邮件线程....”一个人回复道,根据Hacker News上的一个帖子分享的所有回复线程的截图。“嘿!!!!”另一个人说。一位顾客回复说要关掉他们的电子游戏。这些回复透露了用户的姓名和电子邮件地址,黑客新闻最初并未对这些信息进行编辑。哈蒙德在他的YouTube视频中隐藏了人们的信息。
“这件事的悲哀之处在于,它表明AT&T使用了一种电子邮件管理方法,这种方法无法为最终用户取消订阅——事实上,他们控制着分发列表,他们控制着谁收到哪封电子邮件,”最初的帖子回复者亚历克斯·凯利(Alex Kelly)在哈蒙德的YouTube视频下的一个固定的YouTube回复中说。
凯利在一封电子邮件中告诉Motherboard:“我很惊讶我能成功地把电子邮件发送到那个名单上。”“我真希望我在最初的邮件中加上一行,‘请注意,如果你回复这封邮件,其他人都会看到你的邮件’,但最终我很震惊,因为当你在Exchange中创建分发列表时,这个修复实际上是一个复选框。”
目前还不清楚情况是否得到解决,或者是否会有更多的AT&T邮件列表回复事件发生。哈蒙德报告说,凯利最后一次给DONOTUSEPOD1NON地址发邮件时收到了回复,但在电子邮件地址中尝试其他号码导致“点击”。Motherboard给原始地址和几个迭代发送了电子邮件,没有收到原始地址的回复,但是收到了两个迭代的回复。
AT&T没有立即回复记者的置评请求。
这种情况看起来像是一个经典的“全部回复”崩溃,这种情况在过去发生过很多次。在大多数情况下,它们对观察者来说只是娱乐,对参与者来说则是令人沮丧的。值得注意的是,AT&T邮件列表的混乱似乎并没有泄露任何客户的信息。尽管如此,任何回复帖子的人都有效地将自己与其他参与者联系起来,尽管只有他们的名字、电子邮件和他们在回复中提供的任何其他信息。在哈蒙德的视频发布时,凯利在回复区对人们进行了调查,收到了大约100条回复,其中大多数是商业客户。
凯利说,整个情况“主要是笑声,还有一点点‘等等……为什么AT&T会有我无法控制的邮件列表?”我每天都会收到数百封垃圾邮件,其中许多完全绕过了垃圾邮件过滤器,因为坏人滥用了邮件列表之类的东西。”
正如Motherboard之前报道的那样,黑客可以通过多种途径入侵电信用户,包括SIM卡交换——获取受害者的手机号码来侵入他们的其他账户,比如电子邮件和社交媒体——以及直接入侵电信用户。
