国际支付卡组织万事达 (MasterCard) 日前已修复其域名服务器设置中的明显错误,这项错误使得任何人都可以注册拼写错误的域名来拦截或转移万事达的网络流量。这项错误的持续时间长达 5 年,自 2020 年 6 月 30 日起到 2025 年 1 月 14 日结束,关键问题在于万事达的工程师在进行配置时不慎将 akam.net 写成 akam.ne。
NE 域名是非洲国家尼日尔的国别顶级域名 (ccTLD),研究人员发现这个错误后自费 300 美元从尼日尔注册了这个这个域名,随后就可以收到万事达转移的流量。
万事达的官方域名 MasterCard.com 依赖于互联网基础设施服务提供商 Akamai 的 5 组 DNS 服务器,其中 akam.net 就是其中 1 个,而万事达工程师将其拼成了 akam.me。
理论上说 5 组服务器应当是轮询解析流量,不过实际上 DNS 服务器通常为第一组提供主要流量解析,后面的几组作为备份使用,即便其中一个有问题也没关系,会自动切换成其他 DNS 来解析。
万事达将其 DNS 配置的一组设置为 akam.ne 后没有对实际业务造成影响,原因就是这个域名之前是无效的因此不会参与实际解析,直到研究人员注册了这个域名。
在研究人员注册这个域名后,还是理论上说,研究人员可以将该域名注册为 DNS 服务器,然后将 MasterCard.com 指向自己的服务器 IP 地址,接下来能够执行的恶意操作就挺多的了,例如为该域名申请 TLS 证书进行劫持。
比较搞笑的是出现这种低级错误的绝对不只是万事达,因为研究人员也确实将 akam.ne 注册为 DNS 服务器,随后每天收到 10 万 + DNS 请求,这意味着还有大量企业在使用 Akamai 服务时出现把 DNS 服务器域名拼错的低级错误。
鉴于域名已经被研究人员注册所以也不会出现太大问题,于是研究人员在自己的 LinkedIn 上公布了这个错误,万事达很快承认错误并进行修复,强调该问题没有造成任何影响。
但研究人员未通过先公布的做法引起了万事达的不满,万事达通过第三方漏洞研究与奖励平台 Bugcrowd 向研究人员发送消息,Bugcrowd 指出研究人员的做法不符合道德安全做法,同时转达了万事达希望删帖的请求。
最后发现该问题的研究人员是网络安全公司 Seralys 创始人 Philippe Caturegli,Philippe Caturegli 也提醒各位不要忽视风险、不要效仿万事达,也不要让你的营销团队处理安全披露问题。
