Как $300 спасли MasterCard от катастрофы: история одной DNS-ошибки

Компания MasterCard устранила критическую ошибку в настройках своего сервера доменных имён ( DNS ), которая позволяла любому желающему перехватывать или перенаправлять интернет-трафик компании, зарегистрировав неиспользуемый домен . Эта ошибка существовала почти пять лет и была исправлена благодаря усилиям независимого исследователя безопасности, который потратил $300 на регистрацию домена, чтобы предотвратить его использование киберпреступниками.

С 30 июня 2020 года до 14 января 2025 года один из ключевых DNS-серверов MasterCard, используемых для управления трафиком части сети «mastercard[.]com», был настроен с ошибкой. Вместо правильного имени сервера, оканчивающегося на «akam.net», использовалось название с опечаткой — «akam.ne», принадлежащее домену верхнего уровня государства Нигер в Западной Африке.

Ошибка была обнаружена Филиппом Катурели, основателем компании Seralys, которая занимается вопросами безопасности. Предположив, что домен «akam.ne» никем не зарегистрирован, исследователь решил приобрести его. Процесс регистрации занял почти три месяца и потребовал оплаты регистрационного взноса. После настройки DNS-сервера на новом домене Катурели заметил сотни тысяч запросов со всего мира, большая часть из которых была связана с MasterCard.

Катурели отметил, что мог бы злоупотребить ситуацией, например, получить сертификаты шифрования SSL/TLS для поддельных веб-сайтов или перехватить учётные данные сотрудников MasterCard. Однако исследователь сообщил компании об ошибке и предложил передать домен ей. MasterCard признала проблему и исправила настройки, заявив, впрочем, что риск для системы отсутствовал.

Тем не менее позже MasterCard обратилась к Катурели через платформу Bugcrowd, обвинив его в нарушении этических норм безопасности за публикацию информации о проблеме на LinkedIn. Исследователь отметил, что не использовал Bugcrowd для сообщения о проблеме и заранее устранил потенциальные риски, зарегистрировав домен.

Катурели подчеркнул, что ошибка могла повлиять на безопасность, поскольку публичные DNS-резолверы, такие как Google или Cloudflare, могут кэшировать неверные данные. Злоумышленники могли бы перенаправлять значительную часть трафика, если бы использовали эту уязвимость .

Катурели завершил свой пост на LinkedIn словами: «Не будьте как MasterCard. Не игнорируйте риски, и не позволяйте маркетинговым командам заниматься вопросами безопасности».