Platform layanan pelanggan Zendesk tengah disalahgunakan oleh pelaku kejahatan siber untuk membanjiri kotak masuk email target dengan pesan ancaman yang berasal dari ratusan perusahaan pengguna Zendesk sekaligus.
Zendesk sendiri merupakan layanan help desk otomatis yang memudahkan pelanggan menghubungi perusahaan terkait dukungan atau keluhan. Namun, baru-baru ini situs keamanan siber KrebsOnSecurity melaporkan menerima ribuan notifikasi tiket dari berbagai perusahaan besar seperti CapCom, CompTIA, Discord, GMAC, NordVPN, The Washington Post, dan Tinder dalam waktu singkat.
Penyalahgunaan Fitur Tanpa Verifikasi
Pesan yang dikirim melalui platform Zendesk ini dapat memiliki subjek apa pun yang diinginkan pelaku. Beberapa di antaranya berisi tuduhan palsu tentang investigasi hukum terhadap KrebsOnSecurity.com atau bahkan hinaan pribadi.
Masalahnya, email tersebut tidak dikirim langsung dari Zendesk, melainkan dari domain perusahaan pengguna. Misalnya, balasan dari sistem dukungan The Washington Post menampilkan alamat pengirim sebagai [email protected].
Setelah diberi tahu tentang penyalahgunaan massal ini, pihak Zendesk menjelaskan bahwa email tersebut berasal dari akun pelanggan yang mengizinkan siapa pun, termasuk pengguna anonim, untuk mengirim permintaan dukungan tanpa perlu verifikasi.
Menurut Carolyn Camoens, direktur komunikasi Zendesk, beberapa pelanggan memilih sistem terbuka ini untuk alasan bisnis, meski Zendesk sebenarnya menyarankan agar hanya pengguna terverifikasi yang bisa membuat tiket. Ia menambahkan, cara ini memang mempermudah interaksi, tetapi juga membuka peluang penyalahgunaan karena pelaku dapat menggunakan alamat email palsu untuk membuat tiket palsu.
Sistem Proteksi Belum Efektif
Zendesk mengklaim sudah menerapkan pembatasan jumlah permintaan (rate limit) untuk mencegah serangan masif. Namun, mekanisme tersebut tidak cukup kuat menahan ribuan pesan yang dikirim dalam hitungan jam.
“Kami menyadari sistem kami dimanfaatkan secara terdistribusi untuk menyerang satu target,” ujar Camoens. “Kami sedang menyelidiki langkah-langkah pencegahan tambahan dan merekomendasikan pelanggan untuk menggunakan alur pembuatan tiket yang terautentikasi.”
Risiko Bagi Reputasi Perusahaan
Penyalahgunaan ini seharusnya tidak terjadi jika pelanggan Zendesk memverifikasi alamat email sebelum mengirimkan balasan dukungan. Kegagalan melakukan verifikasi memang memudahkan interaksi dengan pelanggan, tetapi di sisi lain membuka peluang bagi pihak tak bertanggung jawab untuk mengirim spam yang merusak reputasi merek.