Międzynarodowy gigant finansowy Mastercard nie kwapił się z naprawą błędu konfiguracji swojego systemu DNS, który mógł narazić firmę na poważne zagrożenia cyberbezpieczeństwa. Wykryty przez badacza Philippe’a Caturegli problem istniał od 2020 roku i przez lata pozostawał niezauważony.
Według raportu Briana Krebsa, znanego dziennikarza śledczego zajmującego się cyberbezpieczeństwem, Mastercard od czerwca 2020 roku używał błędnie skonfigurowanego serwera DNS. Zamiast poprawnego adresu zakończonego na „akam.net”, użyto domeny „akam.ne”, która należy do narodowej strefy domenowej Nigru.
Literówkę odkrył założyciel firmy doradczej Seralys, Philippe Caturegli, który po zidentyfikowaniu problemu wykupił domenę „akam.ne” za 300 dolarów, aby zapobiec jej przejęciu przez osoby o złych intencjach. Wkrótce okazało się, że błąd miał poważne konsekwencje – na jego serwer DNS napływały setki tysięcy żądań dziennie z różnych krajów.
Ryzyko wynikające z błędu DNS
Błąd w konfiguracji mógł umożliwić cyberprzestępcom przechwytywanie ruchu sieciowego Mastercard, w tym potencjalnie poufnych danych użytkowników oraz korespondencji e-mail. Przy odpowiedniej konfiguracji zarejestrowanej domeny możliwe byłoby nawet uzyskanie certyfikatów SSL/TLS, otwierając drogę do ataków typu man-in-the-middle.
Jak podkreśla Caturegli, gdyby domena trafiła w ręce hakerów, możliwe byłoby przechwytywanie i manipulacja pocztą e-mail skierowaną do Mastercard, uzyskanie dostępu do uwierzytelniania w systemach korporacyjnych, a nawet przejęcie przynajmniej 1/5 ruchu DNS Mastercard, ponieważ błąd dotyczył jednego z pięciu kluczowych serwerów DNS firmy.
Brak reakcji Mastercard na zgłoszenie problemu
Początkowo Mastercard ignorował zgłoszenia badacza. Dopiero po interwencji Briana Krebsa, amerykańskiego dziennikarza śledczego, firma przyznała się do błędu i wprowadziła odpowiednie poprawki w konfiguracji DNS. Pomimo tego przedstawiciele Mastercard twierdzili, że błąd nie stanowił zagrożenia dla bezpieczeństwa operacji biznesowych.
Caturegli opisał swoje doświadczenia na LinkedIn, podkreślając brak współpracy ze strony Mastercard i ich zespołu Bugcrowd – platformy hostującej programy bug bounty – który oskarżył go o nieetyczne zachowanie. Caturegli odpierał zarzuty, podkreślając, że wykupił domenę z własnych środków, aby zapobiec jej wykorzystaniu przez osoby trzecie, i dołożył wszelkich starań, by ograniczyć potencjalne ryzyko oraz wielokrotnie informował o zagrożeniu.
Rosyjski ślad w domenie „akam.ne”
Z analizy Krebsa wynika, że domena „akam.ne” była wcześniej zarejestrowana przez użytkownika z Rosji, który powiązał ją z niemieckim dostawcą internetowym specjalizującym się w , cparkowaniu domen. Jest to szczególnie interesujące w kontekście innych podobnych przypadków błędnie skonfigurowanych serwerów DNS, które były wykorzystywane przez cyberprzestępców do ataków na międzynarodowe organizacje.
Choć Mastercard poprawił literówkę w swoich ustawieniach DNS, incydent budzi pytania o procesy kontrolne i zarządzanie ryzykiem w tak dużej organizacji. Przez ponad pięć lat luka pozostawała niewykryta, mimo że mogła narazić firmę na poważne straty finansowe i wizerunkowe.
Pokaż / Dodaj komentarze do: Dane Mastercard wyciekały przez DNS. Przez 5 lat nie zauważyli problemu