Mastercard的DNS错误暴露了潜在的安全风险

关键要点

Mastercard由于DNS设置错误，过去近五年内存在安全漏洞。错误是由于一个字符缺失，允许攻击者创建伪造网站以窃取用户信息。专家指出，这是一个简单的粘贴错误，提醒公司需定期核对DNS记录。

海外npv加速器下载

来源：Tapati Rinchumrus

最近，一位安全研究员发现，由于DNS设置错误，Mastercard近五年来一直存在安全漏洞。这一错误被认为几乎肯定是复制粘贴时出错，导致其DNS记录中缺失了一个字符。这种情况下，攻击者可以潜在地接管子域名，创建一个伪装成真正Mastercard网站的假网站，从而诱骗客户泄露敏感信息和凭据。

Mastercard在给KrebsOnSecurity的声明中确认了DNS故障。该公司表示：“我们已经查阅此事，确认我们的系统并没有面临风险。”MasterCard发言人表示。他补充道：“这个错误已经被修正。”

然而，发现错误的安全研究员指出，这个问题更像是粘贴错误而非打字错误。

安全公司Seralys的首席黑客官Philippe Caturegli表示，DNS记录本应指向以“net”结尾的地址，但误指向了以“ne”结尾的地址。

Caturegli指出，由于DNS字符串的性质和长度，技术人员可能在转移数据时使用了复制粘贴。如果在移动数据时不够小心，通常会在字符串的开头或结尾丢失一个字符。他表示，这正是发生的事情。

这一麻烦还因多个已知的网络安全风险因素而变得更加复杂，包括第三方风险以及不完全属于Mastercard的子域名。该问题错误地命名了互联网服务提供商Akamai的五个共享DNS服务器之一，该服务器负责引导部分Mastercard网络的流量，将请求发送到错误的地址。

根据Caturegli的说法，复制粘贴的内容是由一家名叫CSC的第三方公司处理的。这家公司讽刺地自称为“管理和缓解与网络安全威胁如域名和DNS劫持相关的风险”的公司。

另一位安全高管、CIP首席执行官Andy Jenkinson在审查了Mastercard的问题后，将其称为“令人震惊”。

Jenkinson表示：“我不清楚Mastercard的安全团队在做什么，但显然并不是进行基本的安全检查。这五年来没有人发现问题，质量控制显然没有检查。我将此归咎于人为错误和疏忽。有人连检查都没有想过。”

CSO向Mastercard寻求评论，但该公司没有在截止日期前回复。

Caturegli在一则LinkedIn帖子中公开宣布了他的发现，并呼吁CISO和IT领导“请仔细检查你们的DNS记录，因为一个简单的打字错误可能会为中间人攻击、钓鱼、数据拦截等打开大门。如果你不控制你的域名，可能会被攻击者利用。”

Caturegli告诉CSO，考虑到Mastercard的DNS设置，网站访客每五次只会有一次访问到伪造地址。然而，鉴于Mastercard吸引的庞大流量，即使是20也意味着可能有大量的潜在受害者。

“公平地说，这只是一个子域名。从我所见，这个子域名上没有邮件服务器，它被用于Azure服务，”Caturegli表示。“但作为一个终端用户，你并不知道自己要去哪里。你只是信任DNS而已。”

问题在于，这种