国际支付卡组织万事达(MasterCard)日前已修复其域名服务器设置中的明显错误,这项错误使得任何人都可以注册拼写错误的域名来拦截或转移万事达的网络流量。这项错误的持续时间长达5年,自2020年6月30日起到2025年1月14日结束,关键问题在于万事达的工程师在进行配置时不慎将akam.net写成akam.ne。
NE域名是非洲国家尼日尔的国别顶级域名(ccTLD),研究人员发现这个错误后自费300美元从尼日尔注册了这个这个域名,随后就可以收到万事达转移的流量。
万事达的官方域名MasterCard.com依赖于互联网基础设施服务提供商Akamai的5组DNS服务器,其中akam.net就是其中1个,而万事达工程师将其拼成了akam.me。
理论上说5组服务器应当是轮询解析流量,不过实际上DNS服务器通常为第一组提供主要流量解析,后面的几组作为备份使用,即便其中一个有问题也没关系,会自动切换成其他DNS来解析。
万事达将其DNS配置的一组设置为akam.ne后没有对实际业务造成影响,原因就是这个域名之前是无效的因此不会参与实际解析,直到研究人员注册了这个域名。
在研究人员注册这个域名后,还是理论上说,研究人员可以将该域名注册为DNS服务器,然后将MasterCard.com指向自己的服务器IP地址,接下来能够执行的恶意操作就挺多的了,例如为该域名申请TLS证书进行劫持。
比较搞笑的是出现这种低级错误的绝对不只是万事达,因为研究人员也确实将akam.ne注册为DNS服务器,随后每天收到10万+DNS请求,这意味着还有大量企业在使用Akamai服务时出现把DNS服务器域名拼错的低级错误。
鉴于域名已经被研究人员注册所以也不会出现太大问题,于是研究人员在自己的LinkedIn上公布了这个错误,万事达很快承认错误并进行修复,强调该问题没有造成任何影响。
但研究人员未通过先公布的做法引起了万事达的不满,万事达通过第三方漏洞研究与奖励平台Bugcrowd向研究人员发送消息,Bugcrowd指出研究人员的做法不符合道德安全做法,同时转达了万事达希望删帖的请求。
最后发现该问题的研究人员是网络安全公司Seralys创始人PhilippeCaturegli,PhilippeCaturegli也提醒各位不要忽视风险、不要效仿万事达,也不要让你的营销团队处理安全披露问题。
相关文章
头条焦点
精彩导读
关注我们
【查看完整讨论话题】 | 【用户登录】 | 【用户注册】