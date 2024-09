Beveiligingsonderzoekers zijn erin geslaagd om via een verlopen domeinnaam beheerder van het .Mobi generic top-level domain (gTLD) te worden en hadden hier op allerlei manieren misbruik van kunnen maken. Het .Mobi-domein werd in 2005 geïntroduceerd. De Whois-zoekmachine van de gTLD, waarmee informatie over domeinnaamhouders is op te vragen, migreerde een aantal jaren geleden van whois.dotmobiregistry.net naar whois.nic.mobi.

De domeinnaam dotmobiregistry.net verliep afgelopen december en werd door de onderzoekers geregistreerd. Die besloten twee weken geleden een Whois-server aan de whois.dotmobiregistry.net hostname te koppelen. Allerlei partijen bleken nog gebruik te maken van whois.dotmobiregistry.net, waaronder certificaatautoriteiten die verantwoordelijk zijn voor het uitgeven van tls-certificaten voor domeinen zoals 'google.mobi' en 'microsoft.mobi'.

De certificaatautoriteiten gebruikten de Whois-server van de onderzoekers om de domeineigenaren te bepalen en te kijken waar de verificatiedetails naartoe gestuurd moesten worden. Ook zouden via een malafide .Mobi Whois-server allerlei andere aanvallen mogelijk zijn. Na overleg met verschillende partijen besloten de onderzoekers van securitybedrijf watchTowr Labs om het dotmobiregistry.net domein en de whois.dotmobiregisry.net hostname naar systemen van The ShadowServer Foundation te laten wijzen, die verzoeken vervolgens naar de legitieme Whois voor het .Mobi-domein doorzetten.