Κρίσιμη παραβίαση DNS: το λάθος της MasterCard και ο ρόλος της υπεύθυνης αποκάλυψης

Η MasterCard διόρθωσε πρόσφατα ένα σοβαρό λάθος στις ρυθμίσεις του Domain Name Server (DNS) της, το οποίο επέτρεπε την εκτροπή ή παρακολούθηση της διαδικτυακής της κυκλοφορίας μέσω ενός ανενεργού domain name. Το πρόβλημα διήρκεσε σχεδόν πέντε χρόνια, μέχρι που ο ερευνητής ασφαλείας Philippe Caturegli διέγνωσε το σφάλμα και ξόδεψε 300 δολάρια για να καταχωρίσει το domain “akam.ne”, αποτρέποντας την πιθανή εκμετάλλευσή του από κυβερνοεγκληματίες.

Η παραβίαση εντοπίστηκε στο subdomain az.mastercard.com, όπου ένα μικρό τυπογραφικό λάθος στις ρυθμίσεις DNS —αντί για “akam.net” καταχωρήθηκε το “akam.ne”— προκάλεσε τη διαρροή εκατοντάδων χιλιάδων αιτημάτων DNS καθημερινά. Εάν το domain είχε πέσει στα χέρια κακόβουλων χρηστών, αυτοί θα μπορούσαν να εκτρέψουν δεδομένα, να εκδώσουν πλαστά πιστοποιητικά SSL/TLS ή ακόμα και να αποκτήσουν πρόσβαση σε διαπιστευτήρια των χρηστών της εταιρείας.

Ο Caturegli ανέφερε το πρόβλημα απευθείας στη MasterCard αφού εξασφάλισε το domain, αποδεικνύοντας τη δέσμευσή του στην υπεύθυνη αποκάλυψη. Παρόλα αυτά, η αντίδραση της εταιρείας ήταν αμφιλεγόμενη, καθώς ισχυρίστηκε πως δεν υπήρχε ουσιαστικός κίνδυνος και ζήτησε την απόσυρση της σχετικής ανάρτησης του ερευνητή στο LinkedIn. Στην ίδια ανάρτηση, ο Caturegli δημοσίευσε δεδομένα DNS που καταδεικνύουν την κλίμακα του προβλήματος, καλώντας τις εταιρείες να μην υποτιμούν τέτοιους κινδύνους και να χειρίζονται τις αποκαλύψεις με μεγαλύτερη διαφάνεια.

Το περιστατικό αυτό υπογραμμίζει τη σημασία της σωστής διαχείρισης DNS, ειδικά σε μεγάλης κλίμακας οργανισμούς που βασίζονται σε σύνθετες υποδομές cloud. Παρόμοια περιστατικά στο παρελθόν, όπως τυπογραφικά λάθη σε AWS DNS, έχουν δείξει ότι μικρές παραλείψεις μπορούν να έχουν σοβαρές συνέπειες. Η περίπτωση της MasterCard λειτουργεί ως υπενθύμιση για τις εταιρείες να δίνουν προτεραιότητα στην ασφάλεια και την υπεύθυνη αντιμετώπιση ευρημάτων που εντοπίζουν οι ερευνητές.