Support us

Исследователь «купил» 270 000 доменов.io всего за сто долларов

Оставить комментарий
Исследователь «купил» 270 000 доменов.io всего за сто долларов

Специалист по безопасности Мэтью Браент получил потенциальную возможность контролировать 270 тысяч доменов .io, сообщает The Register.

Читать далее

Иллюстрация: dev.by

Браент случайно обнаружил, что несколько адресов полномочных серверов доменных имён доступны для регистрации. Он попробовал купить их, и попытка увенчалась успехом. В результате специалист по безопасности оказался владельцем четырёх из семи серверов имён, жизненно важных для функционирования всего домена: ns-a1.io, ns-a2.io, ns-a3.io, и ns-a4.io.

Владельцами всех этих адресов должны выступать операторы домена .io — именно с их помощью происходит преобразование запроса из браузера в публичный IP-адрес для осуществления связи. Контроль над доменами позволяет перенаправлять трафик с любого домена .io на сервер, выбранный злоумышленником.

Хотя Браент сразу же связался с поддержкой и сообщил о найденной бреши, он продолжал контролировать купленные домены в течение суток. Криминальный потенциал этой истории огромен: злоумышленники, получившие контроль над доменами, могли бы провести масштабную акцию по отправке пользователей на подменные сайты и установке зловредного ПО на компьютеры жертв. Неизвестно, как быстро брешь была бы обнаружена, если бы Браент не сообщил о ней.

Ситуация стала возможной из-за несогласованных действий в процессе передачи прав на управление доменом от компании TLD стороннему подрядчику Afilias. В результате последний заблокировал важные домены имён A0.nic.io, B0.nic.io, C0.nic.io, но оставшиеся четыре домена оказались доступны для регистрации. 

Место солидарности беларусского ИТ-комьюнити

Далучайся!

Читайте также
10 классных ИТ-курсов из сферы, которой не грозят увольнения (июнь 2023)
10 классных ИТ-курсов из сферы, которой не грозят увольнения (июнь 2023)
10 классных ИТ-курсов из сферы, которой не грозят увольнения (июнь 2023)
Собрали для вас интересные курсы по информационной безопасности на различных популярных платформах. В подборке как программы для новичков, так профессиональные сертификации для опытных айтишников, которым требуется прокачать Cyber Security более глубоко или освежить знания. 
В России двадцатикратный дефицит специалистов по кибербезопасности
В России двадцатикратный дефицит специалистов по кибербезопасности
В России двадцатикратный дефицит специалистов по кибербезопасности
3 комментария
Хакеры начинают искать и атаковать уязвимости уже через 15 минут после публикации данных о них
Хакеры начинают искать и атаковать уязвимости уже через 15 минут после публикации данных о них
Хакеры начинают искать и атаковать уязвимости уже через 15 минут после публикации данных о них
Microsoft обвинили в кибератаках «под чужим флагом» и создании ИТ-армии Украины
Microsoft обвинили в кибератаках «под чужим флагом» и создании ИТ-армии Украины
Microsoft обвинили в кибератаках «под чужим флагом» и создании ИТ-армии Украины

Хотите сообщить важную новость? Пишите в Telegram-бот

Главные события и полезные ссылки в нашем Telegram-канале

Обсуждение
Комментируйте без ограничений

Релоцировались? Теперь вы можете комментировать без верификации аккаунта.

Комментариев пока нет.