3М+ читателей ждут вашу рекламу. Разместитесь! 🚀
Support us

Исследователь «купил» 270 000 доменов.io всего за сто долларов

1 комментарий
Исследователь «купил» 270 000 доменов.io всего за сто долларов

Специалист по безопасности Мэтью Браент получил потенциальную возможность контролировать 270 тысяч доменов .io, сообщает The Register.

Читать далее

Иллюстрация: dev.by

Браент случайно обнаружил, что несколько адресов полномочных серверов доменных имён доступны для регистрации. Он попробовал купить их, и попытка увенчалась успехом. В результате специалист по безопасности оказался владельцем четырёх из семи серверов имён, жизненно важных для функционирования всего домена: ns-a1.io, ns-a2.io, ns-a3.io, и ns-a4.io.

Владельцами всех этих адресов должны выступать операторы домена .io — именно с их помощью происходит преобразование запроса из браузера в публичный IP-адрес для осуществления связи. Контроль над доменами позволяет перенаправлять трафик с любого домена .io на сервер, выбранный злоумышленником.

Хотя Браент сразу же связался с поддержкой и сообщил о найденной бреши, он продолжал контролировать купленные домены в течение суток. Криминальный потенциал этой истории огромен: злоумышленники, получившие контроль над доменами, могли бы провести масштабную акцию по отправке пользователей на подменные сайты и установке зловредного ПО на компьютеры жертв. Неизвестно, как быстро брешь была бы обнаружена, если бы Браент не сообщил о ней.

Ситуация стала возможной из-за несогласованных действий в процессе передачи прав на управление доменом от компании TLD стороннему подрядчику Afilias. В результате последний заблокировал важные домены имён A0.nic.io, B0.nic.io, C0.nic.io, но оставшиеся четыре домена оказались доступны для регистрации. 

Читайте также
10 классных ИТ-курсов из сферы, которой не грозят увольнения (июнь 2023)
10 классных ИТ-курсов из сферы, которой не грозят увольнения (июнь 2023)
10 классных ИТ-курсов из сферы, которой не грозят увольнения (июнь 2023)
Собрали для вас интересные курсы по информационной безопасности на различных популярных платформах. В подборке как программы для новичков, так профессиональные сертификации для опытных айтишников, которым требуется прокачать Cyber Security более глубоко или освежить знания. 
В России двадцатикратный дефицит специалистов по кибербезопасности
В России двадцатикратный дефицит специалистов по кибербезопасности
В России двадцатикратный дефицит специалистов по кибербезопасности
4 комментария
Хакеры начинают искать и атаковать уязвимости уже через 15 минут после публикации данных о них
Хакеры начинают искать и атаковать уязвимости уже через 15 минут после публикации данных о них
Хакеры начинают искать и атаковать уязвимости уже через 15 минут после публикации данных о них
Microsoft обвинили в кибератаках «под чужим флагом» и создании ИТ-армии Украины
Microsoft обвинили в кибератаках «под чужим флагом» и создании ИТ-армии Украины
Microsoft обвинили в кибератаках «под чужим флагом» и создании ИТ-армии Украины

Хотите сообщить важную новость? Пишите в Telegram-бот

Главные события и полезные ссылки в нашем Telegram-канале

Обсуждение
Комментируйте без ограничений

Релоцировались? Теперь вы можете комментировать без верификации аккаунта.

Комментариев пока нет.