Problema sui DNS MasterCard da 5 anni: ma per l’azienda era tutto a posto

Mastercard è una società multinazionale di servizi finanziari. È principalmente nota per la sua rete di pagamenti che permette di effettuare acquisti tramite carte di debito, credito e prepagate. L’azienda è al centro di una polemica per via della scoperta di un errore significativo nelle impostazioni del suo server DNS che avrebbe potuto consentire a malintenzionati di intercettare o deviare il traffico Internet diretto verso i sistemi MasterCard.

Incredibilmente, il problema di configurazione rilevato a livello di record DNS, è passato inosservato addirittura per quasi 5 anni, fino a quando un ricercatore di sicurezza ha speso 300 dollari per registrare un dominio inutilizzato e prevenire il suo utilizzo da parte di eventuali criminali informatici.

I dettagli del problema relativo alla configurazione DNS MasterCard

Dal 30 giugno 2020 al 14 gennaio 2025, uno dei server DNS utilizzati da MasterCard per gestire il traffico verso i domini sotto il controllo della società non era correttamente indicato. Come racconta Philippe Caturegli, fondatore di Seralys, società di consulenza in materia di sicurezza informatica e delle reti, MasterCard si affida a cinque server DNS forniti da Akamai, un importante provider di infrastrutture Internet.

Tutti i nomi dei server DNS Akamai utilizzati da MasterCard avrebbero dovuto terminare con akam.net, ma uno di essi era erroneamente configurato per l’utilizzo del dominio akam.ne. La mancanza di una “t” finale può sembrare una svista di poco ma nella configurazione delle impostazioni di rete e, soprattutto dei server DNS, ogni dettaglio è fondamentale.

Dopo essersi accorto della svista, Caturegli ha immediatamente registrato a nome della sua società il dominio akam.net che, fortunatamente, non era stato richiesto da nessun altro soggetto in precedenza. Il TLD .ne è sotto la giurisdizione del Niger.

Una volto registrato il dominio, Caturegli ha notato centinaia di migliaia di richieste DNS giornaliere provenienti da tutto il mondo.

Potenziali rischi

Se Caturegli avesse attivato un server di posta sul dominio akam.ne, avrebbe potuto ricevere email dirette verso mastercard.com e altri domini affetti dal medesimo problema.

Inoltre, avrebbe potuto ottenere certificati SSL/TLS autorizzati ad accettare e reindirizzare il traffico Web per i siti interessati. Questo tipo di accesso avrebbe potuto consentire la ricezione passiva delle credenziali di autenticazione di Windows dai computer degli impiegati delle aziende coinvolte.

Seguendo un approccio etico e responsabile, Caturegli ha scelto di non spingersi oltre e ha correttamente avvisato MasterCard dell’errore, offrendo loro la possibilità di riacquistare il dominio. MasterCard ha riconosciuto l’errore ma ha dichiarato che non c’è mai stato un reale rischio per la sicurezza delle sue operazioni.

La risposta di MasterCard è giudicata insufficiente: ecco perché

Come riporta anche Brian Krebs, MasterCard ha ammesso l’errore, pur gettando acqua sul fuoco, e ha confermato che l’impostazione DNS risulta adesso corretta.

Caturegli afferma che si sarebbe aspettato, quanto meno, che MasterCard lo avesse ringraziato per aver fatto emergere il problema e si fosse almeno fatta avanti per rimborsare le spese di registrazione del nome di dominio. In realtà, non è successo nulla di tutto questo.

Anzi, da un lato il ricercatore si è dovuto difendere da un’accusa di divulgazione pubblica non in linea con le pratiche etiche sulla sicurezza (proveniente da Bugcrowd, un programma che offre ricompense ai ricercatori di sicurezza per la scoperta di vulnerabilità). Quando in realtà Caturegli ha preventivamente contattato MasterCard in privato.

L’esperto ha inoltre pubblicato un aggiornamento su LinkedIn rimarcando di non essere affatto d’accordo con la valutazione di MasterCard, giudicata troppo superficiale. “Lasceremo che siate voi a giudicare: ecco alcune delle query DNS che abbiamo registrato prima di segnalare il problema“, ha scritto Caturegli.

Come mostra l’immagine, il server DNS akam.ne mal configurato permetteva anche la gestione di richieste relative a sottodomini MasterCard come az.mastercard.com. Impossibile avere certezza di come il sottodominio sia utilizzato da MasterCard, tuttavia le convenzioni di denominazione suggeriscono che i domini corrispondono ai server di produzione del servizio cloud Microsoft Azure.

“Non siate come Mastercard“, ha concluso Caturegli nel suo post su LinkedIn. “Non sottovalutate il rischio e non lasciate che il vostro team di marketing gestisca le divulgazioni sulla sicurezza“.

Qualche nota finale

In chiusura, vale la pena osservare che il nome di dominio akam.ne è stato in realtà già registrato in precedenza. A dicembre 2016, da qualcuno che utilizzava un indirizzo email appartenente al gigante russo della ricerca (Yandex). Il dominio puntava verso un server tedesco ed è stato lasciato scadere nel 2018, fino a quando – poco tempo fa – Caturegli non l’ha registrato.

In un commento al post LinkedIn del ricercatore, si legge la testimonianza di un ex dipendente Cloudflare che ha linkato un report scritto a più mani. Il resoconto riguarda un dominio con errore di battitura simile a quello di Akamai, apparentemente registrato nel 2017 (in quel caso si trattava di awsdns-06.ne in luogo di awsdns-06.net. In quel caso, il domino risulta assegnato a un altro utente Yandex e ospitato (guarda caso!) presso lo stesso ISP tedesco.

Credit immagine in apertura: iStock.com – jbk_photography