信息來(lái)源:HackerNews
本月初,KerbsOnSecurity 收到了一位研究人員的電子郵件,聲稱其通過(guò)簡(jiǎn)單的手段,就輕松拿到了 .GOV 域名。若這一漏洞被利用,或?qū)е?.Gov 域名出現(xiàn)信任危機(jī)。其表示,自己通過(guò)填寫(xiě)線上表格,從美國(guó)一個(gè)只有 .us 域名的小鎮(zhèn)主頁(yè)上抓取了部分抬頭信息,并在申請(qǐng)材料中冒名為當(dāng)?shù)毓賳T,就成功地騙取了審核者的信任。
這位要求匿名的消息人士稱:其使用了虛假的 Google 語(yǔ)音號(hào)碼和虛假的 Gmail 地址,但這一切只是出于思想實(shí)驗(yàn)的目的,資料中唯一真實(shí)的,就是政府官員的名字。
據(jù)悉,這封郵件是從 exeterri.gov 域名發(fā)送來(lái)的。該域名于 11 月 14 日注冊(cè),網(wǎng)站內(nèi)容與其模仿的 .us 站點(diǎn)相同(羅德島州埃克塞特的 Town.exeter.ri.us 網(wǎng)站,現(xiàn)已失效)。
消息人士補(bǔ)充道:其必須填寫(xiě)正式的授權(quán)表單,但基本上只需列出管理員、技術(shù)人員和計(jì)費(fèi)人員等信息。此外,它需要打印在“官方信箋”上,但你只需搜索一份市政府的公文模板,即可輕松為偽造。然后通過(guò)傳真或郵件發(fā)送,審核通過(guò)后,即可注冊(cè)機(jī)構(gòu)發(fā)來(lái)的創(chuàng)建鏈接。
從技術(shù)上講,這位消息人士已涉嫌郵件欺詐。若其使用了美國(guó)境內(nèi)的服務(wù),還可能遭到相應(yīng)的指控。但是對(duì)于藏在暗處的網(wǎng)絡(luò)犯罪分子來(lái)說(shuō),這個(gè)漏洞顯然求之不得。
為了堵上流程漏洞,爆料人希望能夠引入更加嚴(yán)格的 ID 認(rèn)證。盡管他所做的實(shí)驗(yàn)并不合法,但事實(shí)表明確實(shí)很容易得逞。
今天早些時(shí)候,KrebsOnSecurity 與真正的??巳毓賳T取得了聯(lián)系。某不愿透露姓名的工作人員稱,GSA 曾在 11 月 24 日向市長(zhǎng)辦公室打過(guò)電話。然而這通電話是在其向聯(lián)邦機(jī)構(gòu)提出詢問(wèn)的四天之后,距離仿冒域名通過(guò)審批更是已過(guò)去 10 天左右。
盡管沒(méi)有直接回應(yīng),但該機(jī)構(gòu)還是寫(xiě)到:“GSA 正在與當(dāng)局合作,且已實(shí)施其它預(yù)防欺詐的控制措施”。至于具體有哪些附加錯(cuò)誤,其并未詳細(xì)說(shuō)明。
不過(guò) KrebsOnSecurity 確實(shí)得到了國(guó)土安全部下屬網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局的實(shí)質(zhì)性回應(yīng),稱其正在努力為 .gov 域名提供保護(hù)。