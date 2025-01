Creditcardmaatschappij MasterCard had jarenlang een typfout in de DNS-records waar kwaadwillenden, door het registreren van een ongeregistreerde domeinnaam, misbruik van hadden kunnen maken. Een beveiligingsonderzoeker ontdekte dit en registreerde de domeinnaam om zo misbruik te voorkomen. De onderzoeker, Philippe Caturegli, plaatste op LinkedIn een posting over het probleem. Ook waarschuwde hij MasterCard. Naar eigen zeggen negeerde MasterCard zijn eerste melding en kreeg hij van de creditcardmaatschappij het verzoek om de LinkedIn-posting offline te halen.

MasterCard.com maakt gebruik van vijf gedeelde Domain Name System (DNS) servers bij Akamai. Deze servers eindigen op akam.net. In de DNS-records was echter een typfout gemaakt en was voor één server het domein 'akam.ne' gebruikt. Caturegli registreerde het domein voor driehonderd dollar. Vervolgens zag de onderzoeker honderdduizenden DNS-requests op de server binnenkomen die hij voor dit domein had ingesteld. Meerdere partijen hadden dezelfde typfout gemaakt, maar MasterCard was de grootste partij, zo meldt it-journalist Brian Krebs met wie Caturegli gegevens deelde. Volgens Krebs had de onderzoeker verkeer bedoeld voor MasterCard kunnen onderscheppen, waaronder e-mails, als hij voor het domein ook een mailserver had ingesteld.

De onderzoeker berichtte hierover op LinkedIn. Tevens waarschuwde hij MasterCard, en tegelijkertijd Brian Krebs. Caturegli liet weten dat de creditcardmaatschappij als het dit wilde het domein mocht hebben. MasterCard reageerde tegenover Krebs en verklaarde dat er geen risico voor de systemen was en de typfout was verholpen.Tegelijkertijd werd Caturegli door MasterCard gevraagd om zijn LinkedIn-posting over de DNS-fout offline te halen, omdat die in strijd zou zijn met 'ethical security practices'.

'Laat je marketingafdeling geen securitymeldingen afhandelen'

Volgens Caturegli is de manier waarop MasterCard reageert een klassiek geval van hoe je niet met securitymeldingen als bedrijf moet omgaan. "MasterCard negeerde onze eerste melding (en bood niet aan om de driehonderd dollar te vergoeden die we hadden betaald om het domein te registreren en hen te beschermen). Maar ze reageerden tegenover Brian Krebs: "We hebben de zaak bekeken en er was geen risico voor onze systemen. Deze typo is nu verholpen." We zijn het vanzelfsprekend niet met deze beoordeling eens. Maar we laten jou dat beoordelen", aldus de onderzoeker.

Caturegli deelde in een nieuwe LinkedIn-posting verschillende DNS-lookups die op zijn server binnenkwamen om mensen zelf de reactie van MasterCard te laten beoordelen. Daarnaast bleek dat iemand anders in 2016 de domeinnaam al had geregistreerd en hier sporadisch een ip-adres voor had ingesteld. "Wees niet zoals MasterCard. Negeer het risico niet en laat je marketingteam geen securitymeldingen afhandelen", besluit de onderzoeker zijn posting.