.Gov 域名的注册审核不严 或导致信任危机 安全响应中心

admin 9月前 141

本月初,KerbsOnSecurity 收到了一位研究人员的电子邮件,声称其通过简单的手段,就轻松拿到了 .GOV 域名。 若这一漏洞被利用,或导致 .Gov 域名出现信任危机。其表示,自己通过填写线上表格,从美国一个只有 .us 域名的小镇主页上抓取了部分抬头信息,并在申请材料中冒名为当地官员,就成功地骗取了审核者的信任。

       这位要求匿名的消息人士称:其使用了虚假的 Google 语音号码和虚假的 Gmail 地址,但这一切只是出于思想实验的目的,资料中唯一真实的,就是政府官员的名字。

       据悉,这封邮件是从 exeterri.gov 域名发送来的。该域名于 11 月 14 日注册,网站内容与其模仿的 .us 站点相同(罗德岛州埃克塞特的 Town.exeter.ri.us 网站,现已失效)。

       消息人士补充道:其必须填写正式的授权表单,但基本上只需列出管理员、技术人员和计费人员等信息。

       此外,它需要打印在“官方信笺”上,但只需搜索一份市政府的公文模板,即可轻松为伪造。

       然后通过传真或邮件发送,审核通过后,即可注册机构发来的创建链接。

       从技术上讲,这位消息人士已涉嫌邮件欺诈。若其使用了美国境内的服务,还可能遭到相应的指控。但是对于藏在暗处的网络犯罪分子来说,这个漏洞显然求之不得。

       为了堵上流程漏洞,爆料人希望能够引入更加严格的 ID 认证。尽管他所做的实验并不合法,但事实表明确实很容易得逞。

       早些时候,KrebsOnSecurity 与真正的埃克塞特官员取得了联系。某不愿透露姓名的工作人员称,GSA 曾在 11 月 24 日向市长办公室打过电话。

       然而这通电话是在其向联邦机构提出询问的四天之后,距离仿冒域名通过审批更是已过去 10 天左右。

       尽管没有直接回应,但该机构还是写到:“GSA 正在与当局合作,且已实施其它预防欺诈的控制措施”。至于具体有哪些附加错误,其并未详细说明。

       不过 KrebsOnSecurity 确实得到了国土安全部下属网络安全与基础设施安全局的实质性回应,称其正在努力为 .gov 域名提供保护。


少客联盟- 版权声明 1、本主题所有言论和图片纯属会员个人意见,与少客联盟立场无关。
2、本站所有主题由该帖子作者发表,该帖子作者admin少客联盟享有帖子相关版权。
3、少客联盟管理员和版主有权不事先通知发贴者而删除本文。
4、其他单位或个人使用、转载或引用本文时必须同时征得该帖子作者admin少客联盟的同意。
5、帖子作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任。
6、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责。
7、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意。
8、官方反馈邮箱:chinasuc@chinasuc.cn


上一篇:华中科大邹德清:源代码智能漏洞挖掘深度学习带来新可能
下一篇:儿童手表泄露5000多儿童信息 还能假扮父母打电话
Whatever is worth doing is worth doing well. juvenile hacker league
最新回复 (0)
    • 少客联盟
      2
        登录 注册 QQ登录(停用)
返回