Päivitetty 6.11.2025 kl 7:50: Tiedotteeseen lisätietoa palveluun kohdistuneesta hyökkäyksestä.
Kontaktoimme kyseisellä aikavälillä webmailia käyttäneitä asiakkaitamme myös erikseen.
Päivitetty 3.11. kl. 7:30: Webmail-palvelu saatu toimintakuntoon la 1.11. kl 17:00.
Lisäys 3.11. kl 11:20 Webmail-palvelua on voinut käyttää sen avaamisesta lähtien turvallisesti.
Ensiarvion mukaan ainoastaan webmail-palvelun etusivu olisi saastunut, mutta selvitykset jatkuvat edelleen, jotta voimme varmistua, että asiakkaidemme tietoturva ei ole vaarantunut Tiedotamme asiasta lisää, kun selvitykset saatu valmiiksi.
Olemme poistaneet webmail-palvelun (webmail.zoner.fi) kirjautumissivuston käytöstä la 1.11. kl 12:00 tietoturvaan liittyvän riskin vuoksi.
Tämä toimenpide on tehty asiakkaidemme tietoturvan varmistamiseksi ja mahdollisten väärinkäytösten estämiseksi.
Sähköpostit ovat edelleen käytettävissä normaalisti 3. osapuolen sähköpostiohjelmien tai mobiilisovellusten kautta.
Turvallisuus on meille ensisijaisen tärkeää, ja selvitystyö on parhaillaan käynnissä.
Päivitämme tätä tiedotetta, kun olemme selvittäneet asiaa tarkemmin.
Pahoittelemme häiriötä ja kiitämme ymmärryksestä.
Lisätietoa hyökkäyksestä ja vaikutuksista:
Poistimme haittakoodin ja päivitimme RoundCuben, jolloin webmail-kirjautumiset olivat hetken pois päältä. Palvelimen salausavaimet sekä vastaavat tiedot luotiin uudelleen ja hyökkäyksen kulkua alettiin selvittämään tarkemmin.
Mitä tapahtui:
- Hyökkäys tehtiin RoundCube-haavoittuvuutta CVE-2025-49113 hyödyntäen.
PHP-pohjainen haittakoodi oli asennettuna vain webmailin välityspalvelimelle (proxy). Tämä välityspalvelin ei tallenna asiakasdataa (sähköpostien sisältö ym.).
Mitä teimme välittömästi:
- Poistimme haittakoodin ja päivitimme RoundCuben. Webmail-kirjautumiset olivat pois päältä tämän aikaa.
- Palvelimen salausavaimet ja muut vastaavat tiedot luotiin uudelleen.
- Hyökkäyksen kulkua alettiin selvittää mm. lokitiedostojen ja aikaleimojen avulla.
