Akivaizdu, kad „Mastercard“ turėjo saugumo problemą, kuri daugelį metų liko nepastebėta ir kurią lėmė DNS įraše padaryta spausdinimo klaida. Pasak kibernetinio saugumo žurnalisto Briano Krebso, užpuolikas galėjo užregistruoti neteisingą domeną ir perimti arba nukreipti dalį „Mastercard“ duomenų srauto. Saugumo tyrėjas sugebėjo užkirsti tam kelią.
Klaidą aptiko kibernetinio saugumo bendrovės „Seralys“ įkūrėjas Philippe’as Caturegli. Įraše „Linkedin“ jis rodo, kad vienas iš penkių az.mastercard.com DNS įrašų nukreipė į domeną a22-65.akam.ne. Palyginti su kitais keturiais domenais, šio domeno pabaigoje trūko raidės t, kuri turėjo baigtis galūne .net ir taip nukreipti į „Akamai“ DNS serverį.
Remiantis pateikta informacija, klaida egzistavo nuo 2020 m. birželio 30 d. iki 2025 m. sausio 14 d. Kad išvengtų piktybinio išnaudojimo, Caturegli už 300 USD iš atsakingo Nigerio registro užsitikrino neteisingą domeną. Tada jis sukūrė akam.ne DNS serverį ir per dieną gaudavo šimtus tūkstančių DNS užklausų.
„Mastercard“ teigimu, rizikos nėra
Neaišku, kam tiksliai „Mastercard“ naudoja domeną az.mastercard.com. Brianas Krebsas įtaria, kad subdomenas az reiškia „Microsoft“ debesiją „Azure“. Caturegli taip pat patvirtino, kad čia dalyvauja „Microsoft“ adresai.
Krebs savo ataskaitoje įspėja, kad „Caturegli“ tikriausiai galėjo naudoti domeną elektroniniams laiškams ir įvairiai kitai potencialiai jautriai informacijai perimti. Tačiau jis to nepatikrino. Vietoj to jis pasiūlė perimti domeną iš „Mastercard“. Paklaustas mokėjimo paslaugų teikėjo atstovas spaudai paaiškino, kad rašybos klaida buvo ištaisyta, teigia Krebs.
Caturegli į situaciją žiūri kitaip. Kadangi „Mastercard“ naudoja penkis DNS serverius, jis daro prielaidą, kad galėjo prisijungti prie maždaug penktadalio duomenų srauto, tvarkomo per domeną az.mastercard.com. Jis tvirtina, kad šią dalį galėjo padidinti, jei būtų naudojęs viešus duomenų srauto persiuntimo serverius ir DNS serverius iš tokių paslaugų teikėjų kaip „Google“ ar „Cloudflare“, taip pat ilgesnį TTL (angl. Time To Live).
Bendrovė „Mastercard“ nebuvo pernelyg dėkinga už tyrėjo ataskaitą. Papildomame „Linkedin“ komentare Caturegli aiškina, kad bendrovė ignoravo jo pirminį pranešimą bendrovei ir sureagavo tik po to, kai buvo kreiptasi į Brianą Krebsą. Be to, „Mastercard“ net nepasiūlė padengti domeno akam.ne registravimo išlaidų.
Šaltinis: Golem.de
Parašyti komentarą