Cock.li

[Satoshi]

From the twitter

https://twitter.com/x/status/1934315422343446776

Here is the interesting part

The data we quarantined showed no signs of intrusion or successful exploitation.

is that so?) really? how did i get this file then Vincent?

<?php

/* Local configuration for Roundcube Webmail */

// ----------------------------------
// SQL DATABASE
// ----------------------------------
// Database connection string (DSN) for read+write operations
// Format (compatible with PEAR MDB2): db_provider://user:password@host/database
// Currently supported db_providers: mysql, pgsql, sqlite, mssql, sqlsrv, oracle
// For examples see http://pear.php.net/manual/en/package.database.mdb2.intro-dsn.php
// NOTE: for SQLite use absolute path (Linux): 'sqlite:////full/path/to/sqlite.db?mode=0646'
//       or (Windows): 'sqlite:///C:/full/path/to/sqlite.db'
#$config['db_dsnw'] = 'mysql://roundcube:fvnyjusqK3UAl6stZAQ0@db.cock.local/roundcube';
$config['db_dsnw'] = 'mysql://roundcube:653J5KcPa3ifpBvqqvSCT9hc@cockli-db.mg2.ovo.sc/roundcube';

// log driver:  'syslog' or 'file'.
$config['log_driver'] = 'stdout';

// ----------------------------------
// IMAP
// ----------------------------------
// The mail host chosen to perform the log-in.
// Leave blank to show a textbox at login, give a list of hosts
// to display a pulldown menu or set one host as string.
// To use SSL/TLS connection, enter hostname with prefix ssl:// or tls://
// Supported replacement variables:
// %n - hostname ($_SERVER['SERVER_NAME'])
// %t - hostname without the first part
// %d - domain (http hostname $_SERVER['HTTP_HOST'] without the first part)
// %s - domain name after the '@' from e-mail address provided at login screen
// For example %n = mail.domain.tld, %t = domain.tld
// WARNING: After hostname change update of mail_host column in users table is
//          required to match old user data records with the new host.
$config['default_host'] = 'ssl://imap.cock.li';

$config['imap_conn_options'] = array(
  'ssl' => array(
    'peer_name' => 'mail.cock.li'
  ));

// ----------------------------------
// SMTP
// ----------------------------------
// SMTP server host (for sending mails).
// To use SSL/TLS connection, enter hostname with prefix ssl:// or tls://
// If left blank, the PHP mail() function is used
// Supported replacement variables:
// %h - user's IMAP hostname
// %n - hostname ($_SERVER['SERVER_NAME'])
// %t - hostname without the first part
// %d - domain (http hostname $_SERVER['HTTP_HOST'] without the first part)
// %z - IMAP domain (IMAP hostname without the first part)
// For example %n = mail.domain.tld, %t = domain.tld
//$config['smtp_server'] = 'ssl://cockli-smtp.mg2.ovo.sc';
$config['smtp_server'] = 'ssl://smtp.cock.li';

// SMTP port (default is 25; use 587 for STARTTLS or 465 for the
// deprecated SSL over SMTP (aka SMTPS))
$config['smtp_port'] = 465;

// SMTP username (if required) if you use %u as the username Roundcube
// will use the current username for login
$config['smtp_user'] = '%u';

// SMTP password (if required) if you use %p as the password Roundcube
// will use the current user's password for login
$config['smtp_pass'] = '%p';

// SMTP socket context options
// See http://php.net/manual/en/context.ssl.php
// The example below enables server certificate validation, and
// requires 'smtp_timeout' to be non zero.
// $config['smtp_conn_options'] = array(
//   'ssl'         => array(
//     'verify_peer'  => true,
//     'verify_depth' => 3,
//     'cafile'       => '/etc/openssl/certs/ca.crt',
//   ),
// );
$config['smtp_conn_options'] = array (
  'ssl' =>
  array (
    'peer_name' => 'mail.cock.li',
  ),
);

// provide an URL where a user can get support for this Roundcube installation
// PLEASE DO NOT LINK TO THE ROUNDCUBE.NET WEBSITE HERE!
$config['support_url'] = 'mailto:vc.webmail@cock.li';

// this key is used to encrypt the users imap password which is stored
// in the session record (and the client cookie if remember password is enabled).
// please provide a string of exactly 24 chars.
$config['des_key'] = '8daf24390e922ac18a6ce104';

// Name your service. This is displayed on the login screen and in the window title
$config['product_name'] = 'Cockmail';

// Set identities access level:
// 0 - many identities with possibility to edit all params
// 1 - many identities with possibility to edit all params but not email address
// 2 - one identity with possibility to edit all params
// 3 - one identity with possibility to edit all params but not email address
// 4 - one identity with possibility to edit only signature
$config['identities_level'] = 3;

// ----------------------------------
// PLUGINS
// ----------------------------------
// List of active plugins (in plugins/ directory)
$config['plugins'] = array('managesieve','markasjunk');
//$config['plugins'] = array('persistent_login', 'managesieve', 'enigma');

// the default locale setting (leave empty for auto-detection)
// RFC1766 formatted language name like en_US, de_DE, de_CH, fr_FR, pt_BR
$config['language'] = 'en_US';

// skin name: folder from skins/
$config['skin'] = 'elastic';


$config['memcache_hosts'] = ['memcache:11211'];

$config['session_storage'] = 'memcache';
$config['imap_cache'] = null;

$config['refresh_interval'] = 600;

 

[shrekushka]

Using cock[.]li for “secure” email + griping about shit afterwards, a classic.
Cringe.

 

[Rehub]

Почтовый хостинг-провайдер Cock.li сообщил, что пострадал от утечки данных. Хакеры воспользовались уязвимостями в Roundcube Webmail и похитили более миллиона пользовательских записей.

Инцидент затронул всех пользователей, которые заходили в почтовый сервис с 2016 года (согласно подсчетам, это 1 023 800 человек). Также были раскрыты контактные данные еще 93 000 пользователей.


Напомним, что Cock.li — это расположенный в Германии бесплатный почтовый хостинг-провайдер, ориентированный на конфиденциальность. Сервис существует с 2013 года, и им управляет единственный администратор, известный под псевдонимом Винсент Кенфилд (Vincent Canfield). Сервис рекламируется как альтернатива обычным почтовым провайдерам и поддерживает стандартные протоколы, включая SMTP, IMAP и TLS.

В основном Cock.li используют люди, которые не доверяют крупным провайдерам, а также члены ИБ- и опенсорс-сообществ. Кроме того, сервис весьма популярен среди киберпреступников, например, связанных с вымогательскими группировками Dharma и Phobos.

Стоит отметить, что в прошлом у платформы уже возникали юридические проблемы: в 2015 году немецкие правоохранители конфисковали сервер и жесткие диски Cock.li, после того как неизвестный разослал в учебные учреждения США письма с ложным сообщением о заложенной бомбе.

В конце прошлой недели работа Cock.li неожиданно прервалась, и пользователям оставалось только гадать, что произошло.

Вскоре после этого на хак-форуме XSS появилось сообщение от злоумышленника, который заявил, что продает две базы данных с дампом Cock.li, содержащие конфиденциальную информацию о пользователях. Хакер оценил дамп как минимум в один биткоин (около 104 000 долларов по текущему курсу).

Лишь спустя несколько дней, на этой неделе на сайте Cock.li было опубликовано официальное заявление, подтверждающее факт взлома. Сообщается, что хакерам действительно удалось похитить информацию для 1 023 800 учетных записей, включая:

• адреса электронной почты;
• временные метки первого и последнего входа в систему;
• данные о неудачных попытках входа и их количестве;
• языковые настройки;
• сериализованный блоб настроек Roundcube и email-подпись;
• имена контактов (только для 10 400 аккаунтов);
• email-адреса контактов (только для 10 400 аккаунтов);
• vCards (только для 10 400 аккаунтов);
• комментарии (только для 10 400 аккаунтов).

В заявлении подчеркивается, что пароли пользователей, содержимое писем и IP-адреса не были скомпрометированы, поскольку их не было в украденных БД. Также сообщается, что 10 400 пользователей, у которых похитили контактную информацию третьих лиц, получат отдельные уведомления.

Теперь всем, кто пользовался сервисом с 2016 года, рекомендуется как можно скорее сбросить пароли для своих учетных записей.

В Cock.li полагают, что данные были украдены с помощью старой уязвимости SQL-инъекций в Roundcube Webmail (CVE-2021-44026). При этом незадолго до взлома сервис изучал более свежую RCE-уязвимость в Roundcube (CVE-2025-49113), которая уже применяется в атаках. По результатам этого анализа, в июне 2025 года Roundcube был полностью удален с платформы.

«Cock.li больше не будет предлагать Roundcube Webmail, — пишут представители сервиса. — Неважно, была ли наша версия уязвима, мы узнали о Roundcube достаточно, чтобы навсегда от него отказаться. Мы определенно рассматриваем возможность использования другой веб-почты, но это не является приоритетной задачей».

В официальном сообщении упоминается, что более эффективные методы обеспечения безопасности могли бы предотвратить взлом и утечку пользовательских данных. Также представители сервиса признают, что «Cock.li вообще не стоило использовать Roundcube».

ИБ-специалисты полагают, что эта утечка может оказаться ценным материалом для исследователей и правоохранительных органов. Дело в том, что раскрытая информация может использоваться для получения дополнительных данных о злоумышленниках, использующих эту платформу.