据发现,信用卡巨头万事达卡错误配置了其DNS服务器名称,允许任何人在2020年至2025年的五年内拦截或转移流量。
据安全专家Brian Krebs介绍,万事达卡使用Akamai的服务器作为“mastercard.com”的DNS服务器。最初,DNS设置中有五处应指定“akam.net”服务器,但其中一处却写成了“akam.ne”,少了一个字符。
该问题是由安全公司创始人Philippe Catullegli发现的,“.ne”是尼日尔使用的国家专用顶级域名,由于“akam.ne”尚未被注册,因此卡图雷古里花了三个月的时间,花费300美元(约47,000日元)自行注册,以避免被网络犯罪分子滥用。当他启用akam.ne DNS服务器时,发现每天有数十万个来自世界各地的DNS请求。除了万事达卡,还有多家公司和组织错误地指定了相同的“akam.ne”域名。
如果卡图雷古里先生恶意操作“akam.ne”,他可以启用邮件服务器接收发给万事达卡的电子邮件,或者获取mastercard.com的服务器证书,从而创建一个完整的“欺骗网站”。但是,卡图雷古里先生通知万事达卡,“akam.ne”是他的域名。联系后,万事达卡承认设置有误。
在将问题通知万事达卡后,Catulegli在LinkedIn上发布了有关DNS配置错误的信息。然而,万事达卡通过其漏洞赏金计划Bugcrowd联系了他们,要求他们删除该帖子,称发布该内容不符合道德安全实践。
尽管Catulegli拥有Bugcrowd帐户,但他表示从未通过该计划报告过漏洞。“在披露信息之前,我们确保受影响的域名已注册,以防止滥用,从而减轻万事达卡和我们客户面临的任何潜在风险。我们自费采取的这一行动表明了我们对道德安全实践和负责任披露的承诺,”他说。他希望万事达卡承担费用或至少感谢他采取的行动,但万事达卡却意外回应,他说,“我们(Seralys)不同意这种评估。”
克雷布斯称,akam.ne曾于2016年由一名用户使用链接到俄罗斯搜索引擎Yandex的电子邮件地址注册,并一度连接到德国服务器,但该链接于2018年过期。
据移动支付网了解,目前该DNS错误配置,万事达卡已修正。
展开全文
- 移动支付网 | 2025/2/6 12:03:01
- 移动支付网 | 2025/2/1 20:00:00
- 移动支付网 | 2025/1/20 10:04:25
- 移动支付网 | 2025/1/10 14:18:36
- 移动支付网 | 2025/1/10 9:19:53
- 移动支付网 | 2025/1/9 14:44:24
- 移动支付网 | 2024/12/23 14:18:43
- 移动支付网 | 2024/12/23 10:18:47
- 移动支付网 | 2024/12/23 9:17:00
- 移动支付网 | 2024/12/20 14:52:12
- 金融电子化 | 2021/12/17 9:46:56
- 移动支付网 | 2025/2/6 15:27:07
- 移动支付网 | 2025/2/6 15:22:55
- 移动支付网 | 2025/2/6 15:17:53
- 移动支付网 | 2025/2/6 15:11:24