Falla di sicurezza nei server DNS di MasterCard: risolto un errore passato inosservato per quasi 5 anni

 Falla di sicurezza nei server DNS di MasterCard: risolto un errore passato inosservato per quasi 5 anni

Un errore di configurazione nei server DNS di MasterCard ha esposto per quasi 5 anni il traffico web dell'azienda a potenziali intercettazioni. Un ricercatore ha scoperto e segnalato la falla, acquistando il dominio errato per 300 dollari

di pubblicata il , alle 12:31 nel canale Sicurezza
MasterCard
 

Mastercard, il colosso dei pagamenti elettronici, ha corretto un grave errore che è stato presente per quasi cinque anni nelle impostazioni dei suoi server DNS e che avrebbe potuto permettere a chiunque di intercettare o dirottare il traffico Internet della società, semplicemente con la registrazione di un nome di dominio inutilizzato.

Il dominio MasterCard.com si affida a cinque server DNS condivisi presso il provider di infrastrutture Internet Akamai, il nome di ognuno dei quali dovrebbe terminare con akam.net. Ma dal 30 giugno 2020 al 14 gennaio 2025 uno di essi era configurato, probabilmente a causa di un errore di battitura, per fare affidamento sul dominio "akam.ne".

E' stato il ricercatore di sicurezza Philippe Caturegli, fondatore della società di consulenza sulla sicurezza Seralys, a scoprire l'errore pochi giorni fa. Caturegli ha capito che il dominio akam.ne non era mai stato registrato da nessuno. Il suffisso .ne rientra nella giurisdizione del paese africano del Niger.

Intuendo un problema di sicurezza, con risvolti anche gravi, Caturegli ha registrato il dominio - operazione dal costo di 300 dollari e tre mesi di attesa. Ad operazione compiuta il ricercatore ha attivato un server DNS su akam.ne, accorgendosi dell'arrivo di migliaia di richieste DNS ogni giorno da località di tutto il mondo: a quanto pare MasterCard non è stata l'unica organizzazione ad aver commesso un errore di battitura in una voce DNS includendo "akam.ne", ma era di gran lunga la più grande.

Il DNS funge da una sorta di elenco telefonico di Internet, e ha il compito di tradurre i nomi dei siti web in indirizzi IP numerici più facilmente gestibili dai computer. Molte realtà presenti su Internet si appoggiano ad almeno due server di nomi di dominio autorevoli, ma alcune devono gestire così tante richieste DNS da trovarsi nella necessità di distribuire il carico su domini di server DNS aggiuntivi. Nel caso di MasterCard, come detto, sono stati utilizzati 5 server, motivo per il quale l'errore di configurazione non ha causato nessun tipo di disservizio in quanto le richieste venivano gestite dagli altri quattro server.

Se Caturegli avesse, ad esempio, attivato un server di posta elettronica sul suo nuovo dominio akam.ne, egli avrebbe con grande probabilità ricevuto messaggi e-mail indirizzati a mastercard.com o agli altri domini interessati dal problema. E tutto ciò avrebbe potuto avere conseguenze disastrose se al posto del ricercatore vi fosse stato un malintenzionato: la possibilità di ottenere certificati di crittografia dei siti web autorizzati ad accettare e inoltrare il traffico web per i siti web interessati. Avrebbe persino potuto ricevere passivamente le credenziali di autenticazione di Microsoft Windows dai computer dei dipendenti delle aziende coinvolte.

Il ricercatore, dopo aver registrato il dominio, ha comunicato a MasterCard quanto scoperto. La società ha riconosciuto l'errore, correggendolo e dichiarando di non aver riscontrato rischi per i suoi sistemi.

Caturegli ha condiviso l'accaduto tramite un post su Linkedin, dove ha fornito ulteriori dettagli tecnici assieme all'amarezza di non aver ricevuto nessun tipo di ringraziamento da parte di Mastercard e nemmeno la copertura del costo sostenuto per la registrazione del dominio. Il ricercatore ha inoltre dichiarato il suo disaccordo nella valutazione data dalla società, e cioè che l'errore non avrebbe rappresentato alcun rischio: la pubblicazione di alcune delle richieste DNS che ha potuto visionare dopo la registrazione del dominio mostrano infatti che se l'errore fosse stato scoperto da qualche malintenzionato, gli esiti avrebbero potuto essere ben più gravi.

6 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Unrue23 Gennaio 2025, 13:08 #1
Cioè, in pratica Mastercard per ben 5 anni aveva un server DNS su 5 non funzionante (perché non esistente) e non se ne sono accorti?
gabrieleromano23 Gennaio 2025, 13:27 #2
quando è il caso di dire: " ""bene"" ma non benissimo " ...
vash7923 Gennaio 2025, 14:29 #3
Originariamente inviato da: Unrue
Cioè, in pratica Mastercard per ben 5 anni aveva un server DNS su 5 non funzionante (perché non esistente) e non se ne sono accorti?


si direi non grave, gravissimo. Probabilmente il responsabile della sicurezza è assuocuggino....
sbaffo23 Gennaio 2025, 15:56 #4
Originariamente inviato da: vash79
si direi non grave, gravissimo. Probabilmente il responsabile della sicurezza è assuocuggino....

ma una multinazionale top mondiale non ha degli internal auditor, delle verifiche cicliche, del personale critico ridondante, ecc?
ci lamentiamo del blocco della linea con la francia che ha bloccato i pagamenti in italia, del casino di windows che ha bloccato mezzo mondo l'estate scorsa, e poi ci sono errori pacchiani così gravi per anni di cui si accorge per caso un esterno?
veramente il mondo funziona appeso a un filo!
zappy23 Gennaio 2025, 16:56 #5
che capre e che braccina corte...
andbad24 Gennaio 2025, 09:33 #6
La cosa grave è che Mastercard non abbia un programma di reward per i ricercatori di sicurezza o comunque in questo caso non l'abbiamo fatto valere.
Guadagnano 380$ ogni secondo (ho controllato) e non ne possono darne 300 a questo povero cristo?

By(t)e

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^