Een groot beveiligingslek in het domeinsysteem van Amerikaans-Samao maakte het voor aanvallers mogelijk om alle domeinnamen eindigend op .as te kapen, hoewel de organisatie die voor de uitgifte van de as-domeinen verantwoordelijk is dit ontkent.

Amerikaans-Samao heeft als topleveldomein .as. Domeinen eindigend op .as worden uitgegeven door de registry ASNIC. Een Britse beveiligingsonderzoeker met het alias InfoSec Guy ontdekte begin dit jaar dat de website van ASNIC een kwetsbaarheid bevatte waardoor het mogelijk was om van elk .as-domein de wachtwoorden van domeinhouders, administratieve en technische contacten in platte tekst te bekijken.

Ook was het mogelijk om registeraanpassingen van domeinen door te voeren, zoals het instellen van andere ip-adressen, en kon een aanvaller zelfs complete .as-domeinen verwijderen. Hoewel het .as-topleveldomein niet heel populair is, hebben verschillende grote bedrijven en organisaties een domeinnaam eindigend op deze extensie. De onderzoeker besloot ASNIC te waarschuwen, maar kreeg een reactie terug dat het niet om een groot beveiligingslek ging. Er zou echter nog een verdere uitleg volgen.

Deze uitleg werd echter nooit gegeven, waarop de onderzoeker opnieuw contact zocht. ASNIC stelde nu opeens dat het wel een probleem bleek te zijn en er binnen een week een oplossing zou worden doorgevoerd. De code in kwestie zou nog uit de vorige eeuw stammen. De onderzoeker stelde hierop dat ASNIC alle klanten moest waarschuwen. De registry liet vervolgens weten dat het wachtwoordveld dat kon worden bekeken nooit in gebruik is geweest. De onderzoeker bevestigt dit maar stelt wel dat ASNIC al decennia lang wachtwoorden onversleuteld opslaat.

Het is daarbij aannemelijk dat domeinhouders en andere domeincontacten wachtwoorden hergebruiken. Vanwege dit risico moest de registry klanten dus alsnog waarschuwen, aldus de onderzoeker. Eind februari kondigde ASNIC aan dat het dit zou doen, maar een maand later bleken klanten nog steeds niet te zijn gewaarschuwd. Aangezien het probleem op de website van de registry inmiddels was verholpen besloot de onderzoeker zijn bevindingen te publiceren.

ASNIC kwam daarop met een reactie waarin het stelt dat de publicatie van de onderzoeker niet klopt en er sprake van paniekzaaierij is. Het zou namelijk niet mogelijk zijn geweest om domeingegevens aan te passen. De onderzoeker laat daarop weer weten dat dit wel degelijk kon, zoals hij ook in screenshots aantoont. "De officiële verklaring van de AS registry toont aan dat ze nog steeds niet de ernst van het probleem willen erkennen", besluit de onderzoeker.