近期,著名安全博主Krebs爆料,支付巨头万事达卡(MasterCard)存在一个持续近五年的DNS配置错误。这一错误源于2020年6月30日,万事达卡的系统管理人员在配置DNS服务器时,将核心DNS服务器之一的地址“akam.net”误写为“akam.ne”。这一错误直到2025年1月14日才被发现并修复,持续时间长达近五年。
万事达卡DNS乌龙
安全咨询公司Seralys的创始人Philippe Caturegli发现了这一错误。他注意到“akam.ne”这一域名未被注册,且其顶级域名由西非国家尼日尔的域名管理机构负责。为了防止恶意利用,Caturegli花费300美元注册了该域名,并通知了万事达卡。万事达卡承认了错误,但声称其运营从未真正面临安全威胁。然而,Caturegli指出,由于公共DNS解析器(如Cloudflare和谷歌)的存在,攻击者可能通过设置长TTL(生存时间)重新路由更多流量,进一步扩大风险。DNS错误的潜在风险
DNS(域名系统)是互联网的核心基础设施之一,负责将人类可读的域名转换为机器可读的IP地址。DNS的稳定性和安全性直接关系到网站、应用程序和在线服务的可用性。对于支付巨头万事达卡这样的企业来说,DNS的准确性尤为重要,任何解析错误都可能导致支付服务中断,而此次的DNS配置错误事故所存在的安全风险更是难以预估的。流量劫持:如果攻击者在这段时间内注册并利用了这个错误的域名,就可能拦截到大量的DNS请求,从而获取到敏感信息或进行恶意操作,甚至可能获取加密证书(TLS/SSL证书)或接收发往万事达卡的邮件。
敏感信息泄露:错误配置可能导致敏感信息泄露,例如员工的身份验证凭据或客户数据。服务中断:如果攻击者利用这个错误,可能导致万事达卡的服务中断,影响全球支付处理。
品牌损害:服务中断或数据泄露会损害万事达卡的声誉,降低客户信任,对其后续业务的开展构成长期且难以逆转的负面影响。DNS错误如何预防和应对?
加强DNS配置管理:企业应定期审查DNS配置,确保其准确性和安全性,避免出现类似错误。部署DNSSEC:使用DNSSEC(DNS安全扩展)可防止DNS欺骗和缓存投毒,提升DNS安全性。
建立监控与应急机制:实时监控DNS解析状态,并制定应急恢复计划,以快速应对潜在威胁。
采用专业DNS服务:依托专业可靠的DNS服务提供商,可以有效提升解析的稳定性和安全性。国科云DNS解析安全解决方案
国科云是中国科学院控股有限公司旗下企业,深耕域名相关领域25年,致力于为各行业客户提供高效、稳定、安全的DNS解析和互联网基础资源产品与服务。域名管理服务:国科云提供一站式的域名注册、解析和管理服务,支持多种域名后缀,满足企业集中统一管理和域名品牌保护的需求。
DNS健康监测:国科云在全球部署多个解析监测节点,能够对重点域名的DNS解析状态进行实时监测,及时发现并修复配置错误或潜在风险。
DNS安全防护:国科云提供全方位的DNS安全防护服务,包括DNSSEC部署、DNS流量监控和异常告警等功能,有效应对因配置错误、网络攻击等造成的DNS劫持和篡改风险。
专属人工服务:国科云提供7*24小时一对一专属人工服务,能够及时响应客户需求,并提供专业的技术支持,确保客户域名及解析安全万无一失。
相关推荐:
