Интересная история про DNS на примере известной MasterCard звучит как напоминание о том, что даже в больших и важных компаниях случаются ошибки. Итак, технический специалист по безопасности из Seralys выудил из океана IT какую-то, можно сказать, путаницу в конфигурировании DNS-записей у их сайта. Ситуация крутилась вокруг системы Akamai, которая помогает интернет-ресурсам загружаться резвее, но в данном случае что-то пошло слегка не по плану. DNS-записи, которые должны были указывать на домен «a22-65.akam.net», внезапно перевели стрелки на «a22-65.akam.ne» – а это уже территория республики Нигер, и, мягко говоря, это не то, чего ждёшь от аккуратной работы DNS.
Сложности с основным доменом MasterCard
Ну вот представьте – из-за такой оплошности обращения к DNS серверам для MasterCard могли попадать не туда, куда надо. По правде говоря, если бы какие-то умельцы зарегистрировали тот самый «akam.ne», они бы теоретически могли наворотить дел с данными пользователей. Плюс, для домена Mastercard почему-то не настроили защиту DNSSEC, что только добавляло масла в огонь. Вероятно, из-за TTL – это такая штука, которая регулирует, сколько времени хранятся данные в кэше серверов – выбора особо не было. Ошибка могла висять как минимум несколько часов, а то и больше.
Каким-то образом в этой истории и сама MasterCard осталась без нужного внимания к деталям. Ситуация с DNS-записями напомнила о том, как важно не запускать такие мелочи, потому что именно из них чаще всего вырастают большие проблемы.
Курьёзные опечатки в других доменах и больше ошибок
Здесь всплыла ещё одна интересная тонкость. Как оказалось, всё это касалось далеко не только основного сайта. К примеру, есть такой «redemtion.mastercard.com» – ну а правильный-то вариант, на самом деле, «redemption». Это, знаете ли, довольно смешная ошибка, но в IT подобные вещи приводят к серьёзным последствиям. Такие неправильные домены – просто подарок для тех, кто хочет заняться фишингом или чем-то похуже. Можно, к примеру, получить сертификаты безопасности для этих адресов и пускать вредоносные странички, играя на доверии пользователей. Ещё один штрафной удар – риски фальшивых писем, которые могут выдавать себя за legit отправителей вида info@mastercard.com. Вот такие электронные сообщеньица могли натворить дел.
Это, в конце концов, опять наталкивает мысль на то, что работа с DNS штука… ну, скажем, в некотором смысле скользкая, если ей не заниматься как следует и оставлять оплошности на самотёк.
Цена невнимания, или буквально 300 долларов
По правде говоря, что больше всего запомнилось в этой истории – так это то, что домен «akam.ne», на который всё так странно перенаправлялось, можно было, как оказалось, прикупить всего-навсего за 300 долларов. А вот интересующихся этим «лакомым кусочком», видимо, хватало. Тем временем, MasterCard как-то не ринулась терять время и обновлять настройки в спешке. Там почему-то продолжали настаивать на том, чтобы как-то мириться с этим «akam.ne». Забавный факт: этот домен до 2018 года даже вроде как использовался в целях тестирования.
И всё вот это потянуло за собой старую проблему – насколько скрупулёзно проверяются DNS-записи? Ответьте вы сами для себя: ведь при другом случае такая вещь может вовсе стоить доверия компании.
Шаги навстречу решению или что там с действиями MasterCard
Вывод был очевиден, и в конце концов MasterCard заявила, что ситуация контроля не особо выходит из-под рук, и работки ведутся. Там даже сообщили, что меры предпринимаются, чтобы не допустить массового сбоя. Однако, честно говоря, источник информации от киберразведки Bugcrowd другой – намекнули на то, что упущение висело в воздухе чуть ли не годами. Было проведено расследование, материалы потом передали компании, но, видимо, там решили местами закрыть на это глаза. Всё же покупка домена за те же несчастные 300 долларов казалась такой мелкой задачей, что на неё якобы не обратили внимания.
Ворох проблем DNS и их возможные корни
Пожалуй, завершая, стоит заглянуть чуть глубже. Оказалась, что wildcard-записи вроде *.az.mastercard.com в добавочек давали довольно-таки широкий простор для фантазии злоумышленников. Именно через такие записи сервис Microsoft Azure, к примеру, мог создавать поддомены, которые, как вы понимаете, в теории можно использовать в не самых приятных сценариях. Так или иначе, история явно вращалась в некоторой мере вокруг устаревших технологий без должного уровня проверки, что показало и прошлые подобные кейсы вроде домена «awsdns-06.ne».
В общем, такие случаи возвращают людей к мысли, что мелочи могут вернуть серьёзным компаниям много головной боли. Ну, а вам остаётся понаблюдать за их аккуратностью в будущем!