一位網(wǎng)名叫“InfoSec Guy”的英國安全研究人員,近日披露了美屬薩摩亞域名注冊機(jī)構(gòu)ASNIC竟然在使用一個過時的域名管理系統(tǒng)的消息。糟糕的是,該管理系統(tǒng)包含了一個bug,允許任何人查看任意.as域名擁有者的詳細(xì)私人信息。此外,研究人員還聲稱,任何知曉該bug的人,都可以編輯和刪除任意.as域名——只需篡改下ASNIC域名信息的URL。
研究人員在2天前的博客文章中寫到:
通過簡單的Base64編碼一個.as域名,然后將它附加到nic.as網(wǎng)站的網(wǎng)址中,就可以完整地查看域名記錄(包括未加密的域名持有者密碼、聯(lián)系方式、以及付款人等信息)。
一開始,ASNIC否認(rèn)存在任何問題,但后來還是進(jìn)行了證實,并披露該系統(tǒng)其實始于1990年代中期。至于明文密碼,其表示從未被用于對域名管理操作的用戶進(jìn)行身份驗證。
這名安全研究人員最后收到的一封電子郵件寫到:“[base]64編碼已經(jīng)被淘汰,我們將已進(jìn)入通報流程”。
2個月后,似乎沒有客戶收到數(shù)據(jù)泄露的通知,于是研究人員嘗試再次聯(lián)系A(chǔ)SNIC,但該機(jī)構(gòu)已不再給出回應(yīng)。
在發(fā)現(xiàn)問題3個月后,研究人員正式公開了這一情況,希望.as的域名擁有人盡快自檢自查,其中不乏一些大牌客戶,比如Opera、Flickr、Twitter、麥當(dāng)勞、英國天然氣、Bose、阿迪達(dá)斯、德州大學(xué)、以及許多短網(wǎng)址服務(wù)商。
最終,ASNIC于昨日發(fā)表了一則聲明,聲稱研究人員的報告“不準(zhǔn)確、有誤導(dǎo)性、將危害放到了最大”。萬幸的是,有缺陷的域名注冊系統(tǒng)已經(jīng)正式退休了。