美屬薩摩亞域名注冊機(jī)構(gòu)從90年代中期就一直在暴露客戶數(shù)據(jù)

責(zé)任編輯:editor006

2016-04-28 11:52:49

摘自:cnBeta.COM

這名安全研究人員最后收到的一封電子郵件寫到:“[base]64編碼已經(jīng)被淘汰,我們將已進(jìn)入通報流程”。2個月后,似乎沒有客戶收到數(shù)據(jù)泄露的通知,于是研究人員嘗試再次聯(lián)系A(chǔ)SNIC,但該機(jī)構(gòu)已不再給出回應(yīng)。

一位網(wǎng)名叫“InfoSec Guy”的英國安全研究人員,近日披露了美屬薩摩亞域名注冊機(jī)構(gòu)ASNIC竟然在使用一個過時的域名管理系統(tǒng)的消息。糟糕的是,該管理系統(tǒng)包含了一個bug,允許任何人查看任意.as域名擁有者的詳細(xì)私人信息。此外,研究人員還聲稱,任何知曉該bug的人,都可以編輯和刪除任意.as域名——只需篡改下ASNIC域名信息的URL。

  研究人員在2天前的博客文章中寫到:

通過簡單的Base64編碼一個.as域名,然后將它附加到nic.as網(wǎng)站的網(wǎng)址中,就可以完整地查看域名記錄(包括未加密的域名持有者密碼、聯(lián)系方式、以及付款人等信息)。

一開始,ASNIC否認(rèn)存在任何問題,但后來還是進(jìn)行了證實,并披露該系統(tǒng)其實始于1990年代中期。至于明文密碼,其表示從未被用于對域名管理操作的用戶進(jìn)行身份驗證。

這名安全研究人員最后收到的一封電子郵件寫到:“[base]64編碼已經(jīng)被淘汰,我們將已進(jìn)入通報流程”。

2個月后,似乎沒有客戶收到數(shù)據(jù)泄露的通知,于是研究人員嘗試再次聯(lián)系A(chǔ)SNIC,但該機(jī)構(gòu)已不再給出回應(yīng)。

在發(fā)現(xiàn)問題3個月后,研究人員正式公開了這一情況,希望.as的域名擁有人盡快自檢自查,其中不乏一些大牌客戶,比如Opera、Flickr、Twitter、麥當(dāng)勞、英國天然氣、Bose、阿迪達(dá)斯、德州大學(xué)、以及許多短網(wǎng)址服務(wù)商。

最終,ASNIC于昨日發(fā)表了一則聲明,聲稱研究人員的報告“不準(zhǔn)確、有誤導(dǎo)性、將危害放到了最大”。萬幸的是,有缺陷的域名注冊系統(tǒng)已經(jīng)正式退休了。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號