美属萨摩亚域名注册机构一直在暴露客户数据

　　4月29日消息　一位网名叫“InfoSec Guy”的英国安全研究人员，近日披露了美属萨摩亚域名注册机构ASNIC竟然在使用一个过时的域名管理系统的消息。糟糕的是，该管理系统包含了一个bug，允许任何人查看任意.as域名拥有者的详细私人信息。此外，研究人员还声称，任何知晓该bug的人，都可以编辑和删除任意.as域名——只需篡改下ASNIC域名信息的URL。

 

　　

 

　　研究人员在2天前的博客文章中写到：

 

　　通过简单的Base64编码一个.as域名，然后将它附加到nic.as网站的网址中，就可以完整地查看域名记录（包括未加密的域名持有者密码、联系方式、以及付款人等信息）。

 

　　一开始，ASNIC否认存在任何问题，但后来还是进行了证实，并披露该系统其实始于1990年代中期。至于明文密码，其表示从未被用于对域名管理操作的用户进行身份验证。

 

　　

 

　　这名安全研究人员最后收到的一封电子邮件写到：“[base]64编码已经被淘汰，我们将已进入通报流程”。

 

2个月后，似乎没有客户收到数据泄露的通知，于是研究人员尝试再次联系ASNIC，但该机构已不再给出回应。

　　

　　在发现问题3个月后，研究人员正式公开了这一情况，希望.as的域名拥有人尽快自检自查，其中不乏一些大牌客户，比如Opera、Flickr、Twitter、麦当劳、英国天然气、Bose、阿迪达斯、德州大学、以及许多短网址服务商。

 

　　最终，ASNIC于昨日发表了一则声明，声称研究人员的报告“不准确、有误导性、将危害放到了最大”。万幸的是，有缺陷的域名注册系统已经正式退休了。

　　[编译自：Soft Pedia]