國際支付卡組織萬事達 (MasterCard) 日前已修復其域名服務器設(shè)置中的明顯錯誤，這項錯誤使得任何人都可以注冊拼寫錯誤的域名來攔截或轉(zhuǎn)移萬事達的網(wǎng)絡(luò)流量。

這項錯誤的持續(xù)時間長達 5 年，自 2020 年 6 月 30 日起到 2025 年 1 月 14 日結(jié)束，關(guān)鍵問題在于萬事達的工程師在進行配置時不慎將 akam.net 寫成 akam.ne

NE 域名是非洲國家尼日爾的國別頂級域名 (ccTLD)，研究人員發(fā)現(xiàn)這個錯誤后自費 300 美元從尼日爾注冊了這個這個域名，隨后就可以收到萬事達轉(zhuǎn)移的流量。

萬事達的官方域名 MasterCard.com 依賴于互聯(lián)網(wǎng)基礎(chǔ)設(shè)施服務提供商 Akamai 的 5 組 DNS 服務器，其中 akam.net 就是其中 1 個，而萬事達工程師將其拼成了 akam.ne。

理論上說 5 組服務器應當是輪詢解析流量，不過實際上 DNS 服務器通常為第一組提供主要流量解析，后面的幾組作為備份使用，即便其中一個有問題也沒關(guān)系，會自動切換成其他 DNS 來解析。

萬事達將其 DNS 配置的一組設(shè)置為 akam.ne 后沒有對實際業(yè)務造成影響，原因就是這個域名之前是無效的因此不會參與實際解析，直到研究人員注冊了這個域名。

在研究人員注冊這個域名后，還是理論上說，研究人員可以將該域名注冊為 DNS 服務器，然后將 MasterCard.com 指向自己的服務器 IP 地址，接下來能夠執(zhí)行的惡意操作就挺多的了，例如為該域名申請 TLS 證書進行劫持。

比較搞笑的是出現(xiàn)這種低級錯誤的絕對不只是萬事達，因為研究人員也確實將 akam.ne 注冊為 DNS 服務器，隨后每天收到 10 萬 + DNS 請求，這意味著還有大量企業(yè)在使用 Akamai 服務時出現(xiàn)把 DNS 服務器域名拼錯的低級錯誤。

鑒于域名已經(jīng)被研究人員注冊所以也不會出現(xiàn)太大問題，于是研究人員在自己的 LinkedIn 上公布了這個錯誤，萬事達很快承認錯誤并進行修復，強調(diào)該問題沒有造成任何影響。

但研究人員未通過先公布的做法引起了萬事達的不滿，萬事達通過第三方漏洞研究與獎勵平臺 Bugcrowd 向研究人員發(fā)送消息，Bugcrowd 指出研究人員的做法不符合道德安全做法，同時轉(zhuǎn)達了萬事達希望刪帖的請求。

最后發(fā)現(xiàn)該問題的研究人員是網(wǎng)絡(luò)安全公司 Seralys 創(chuàng)始人 Philippe Caturegli，Philippe Caturegli 也提醒各位不要忽視風險、不要效仿萬事達，也不要讓你的營銷團隊處理安全披露問題。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級服務市場：https://www.ijiandao.com/