O Cock.li, um fornecedor de alojamento de email conhecido pelo seu foco na privacidade e políticas de moderação permissivas, confirmou ter sido vítima de uma grave fuga de dados. A falha, explorada por cibercriminosos através de vulnerabilidades na sua antiga plataforma de webmail Roundcube, resultou no roubo de mais de um milhão de registos de utilizadores. Como consequência direta, o serviço anunciou o fim do suporte para o Roundcube.
O que foi exatamente exposto (e o que está seguro)?
O incidente afetou todos os utilizadores que iniciaram sessão no serviço desde 2016, um número estimado em 1.023.800 pessoas. Segundo o comunicado oficial publicado pelo Cock.li, os atacantes conseguiram aceder a um vasto leque de informações. A lista de dados comprometidos para mais de um milhão de contas inclui:
- Endereço de email
- Carimbos de data e hora do primeiro e último login
- Tentativas de login falhadas e a sua contagem
- Idioma preferencial
- Um ficheiro com configurações do Roundcube e a assinatura de email
- Nomes de contactos, endereços de email, vCards e comentários (apenas para um subconjunto de 10.400 contas)
Apesar da gravidade, o Cock.li fez questão de esclarecer que os dados mais críticos não foram comprometidos. As palavras-passe das contas, o conteúdo dos emails e os endereços IP dos utilizadores não foram expostos, uma vez que não se encontravam nas bases de dados roubadas. Os cerca de 10.400 utilizadores que viram os dados de contacto de terceiros expostos serão notificados separadamente. Ainda assim, a recomendação para todos os que usaram o serviço desde 2016 é que procedam à alteração da sua palavra-passe por precaução.
A "morte" do Roundcube e a admissão de culpa
Os administradores do serviço acreditam que os dados foram roubados através da exploração de uma antiga vulnerabilidade de injeção de SQL no RoundCube, identificada como CVE-2021-44026. Curiosamente, esta violação surge numa altura em que o Cock.li tinha acabado de analisar outra falha grave na mesma plataforma, uma vulnerabilidade de Execução Remota de Código (RCE) rastreada como CVE-2025-49113, que se acredita estar a ser ativamente explorada.
Esta análise recente já tinha levado a equipa a tomar uma decisão drástica este mês. "O Cock.li deixará de oferecer o webmail Roundcube", explicaram os administradores. "Independentemente de a nossa versão ser ou não vulnerável a isto, aprendemos o suficiente sobre o Roundcube para o removermos do serviço de vez". A administração admitiu que melhores práticas de segurança poderiam ter evitado a fuga, afirmando que "o Cock.li não deveria, para começar, estar a usar o Roundcube".
Um tesouro para piratas (e para as autoridades)
Pouco depois da interrupção do serviço no final da semana passada, um agente de ameaça surgiu a reivindicar a autoria do ataque. O cibercriminoso colocou à venda duas bases de dados roubadas do Cock.li, com um preço mínimo de um Bitcoin, o que equivale a cerca de 85.100 euros.
O Cock.li, gerido desde 2013 por uma única pessoa conhecida como 'Vincent Canfield', sempre se posicionou como uma alternativa aos gigantes do email, atraindo utilizadores desconfiados dos grandes fornecedores, bem como membros das comunidades de segurança informática e de código aberto. No entanto, a sua popularidade estende-se também ao submundo do crime digital, sendo uma plataforma utilizada por afiliados de grupos de ransomware como o Dharma e o Phobos. Esta dualidade torna a base de dados roubada particularmente valiosa, tanto para investigadores e autoridades que procuram informações sobre estes atores, como para outros criminosos.
Para já, quem quiser continuar a utilizar o Cock.li terá de o fazer através de um cliente de email que suporte os protocolos IMAP ou SMTP/POP3.
Nenhum comentário
Seja o primeiro!