Falla di sicurezza nei server DNS di MasterCard: risolto un errore passato inosservato per quasi 5 anni

Mastercard, il colosso dei pagamenti elettronici, ha corretto un grave errore che è stato presente per quasi cinque anni nelle impostazioni dei suoi server DNS e che avrebbe potuto permettere a chiunque di intercettare o dirottare il traffico Internet della società, semplicemente con la registrazione di un nome di dominio inutilizzato.

Il dominio MasterCard.com si affida a cinque server DNS condivisi presso il provider di infrastrutture Internet Akamai, il nome di ognuno dei quali dovrebbe terminare con akam.net. Ma dal 30 giugno 2020 al 14 gennaio 2025 uno di essi era configurato, probabilmente a causa di un errore di battitura, per fare affidamento sul dominio "akam.ne".

E' stato il ricercatore di sicurezza Philippe Caturegli, fondatore della società di consulenza sulla sicurezza Seralys, a scoprire l'errore pochi giorni fa. Caturegli ha capito che il dominio akam.ne non era mai stato registrato da nessuno. Il suffisso .ne rientra nella giurisdizione del paese africano del Niger.

Intuendo un problema di sicurezza, con risvolti anche gravi, Caturegli ha registrato il dominio - operazione dal costo di 300 dollari e tre mesi di attesa. Ad operazione compiuta il ricercatore ha attivato un server DNS su akam.ne, accorgendosi dell'arrivo di migliaia di richieste DNS ogni giorno da località di tutto il mondo: a quanto pare MasterCard non è stata l'unica organizzazione ad aver commesso un errore di battitura in una voce DNS includendo "akam.ne", ma era di gran lunga la più grande.

Il DNS funge da una sorta di elenco telefonico di Internet, e ha il compito di tradurre i nomi dei siti web in indirizzi IP numerici più facilmente gestibili dai computer. Molte realtà presenti su Internet si appoggiano ad almeno due server di nomi di dominio autorevoli, ma alcune devono gestire così tante richieste DNS da trovarsi nella necessità di distribuire il carico su domini di server DNS aggiuntivi. Nel caso di MasterCard, come detto, sono stati utilizzati 5 server, motivo per il quale l'errore di configurazione non ha causato nessun tipo di disservizio in quanto le richieste venivano gestite dagli altri quattro server.

Se Caturegli avesse, ad esempio, attivato un server di posta elettronica sul suo nuovo dominio akam.ne, egli avrebbe con grande probabilità ricevuto messaggi e-mail indirizzati a mastercard.com o agli altri domini interessati dal problema. E tutto ciò avrebbe potuto avere conseguenze disastrose se al posto del ricercatore vi fosse stato un malintenzionato: la possibilità di ottenere certificati di crittografia dei siti web autorizzati ad accettare e inoltrare il traffico web per i siti web interessati. Avrebbe persino potuto ricevere passivamente le credenziali di autenticazione di Microsoft Windows dai computer dei dipendenti delle aziende coinvolte.

Il ricercatore, dopo aver registrato il dominio, ha comunicato a MasterCard quanto scoperto. La società ha riconosciuto l'errore, correggendolo e dichiarando di non aver riscontrato rischi per i suoi sistemi.

Caturegli ha condiviso l'accaduto tramite un post su Linkedin, dove ha fornito ulteriori dettagli tecnici assieme all'amarezza di non aver ricevuto nessun tipo di ringraziamento da parte di Mastercard e nemmeno la copertura del costo sostenuto per la registrazione del dominio. Il ricercatore ha inoltre dichiarato il suo disaccordo nella valutazione data dalla società, e cioè che l'errore non avrebbe rappresentato alcun rischio: la pubblicazione di alcune delle richieste DNS che ha potuto visionare dopo la registrazione del dominio mostrano infatti che se l'errore fosse stato scoperto da qualche malintenzionato, gli esiti avrebbero potuto essere ben più gravi.