本帖最后由 doolin 于 2025-1-24 22:50 编辑 国际支付卡组织万事达 (MasterCard) 日前已修复其域名服务器设置中的明显错误,这项错误使得任何人都可以注册拼写错误的域名来拦截或转移万事达的网络流量。这项错误的持续时间长达 5 年,自 2020 年 6 月 30 日起到 2025 年 1 月 14 日结束,关键问题在于万事达的工程师在进行配置时不慎将 akam.net 写成 akam.ne
NE 域名是非洲国家尼日尔的国别域名 (ccTLD),研究人员发现这个错误后自费 300 美元从尼日尔注册了这个这个域名,随后就可以收到万事达转移的流量。
万事达的官方域名 MasterCard.com 依赖于互联网基础设施服务提供商 Akamai 的 5 组 DNS 服务器,其中 akam.net 就是其中 1 个,而万事达工程师将其拼成了 akam.ne。万事达将其 DNS 配置的一组设置为 akam.ne 后没有对实际业务造成影响,原因就是这个域名之前是无效的因此不会参与实际解析,直到研究人员注册了这个域名。在研究人员注册这个域名后,还是理论上说,研究人员可以将该域名注册为 DNS 服务器,然后将 MasterCard.com 指向自己的服务器 IP 地址,接下来能够执行的恶意操作就挺多的了,例如为该域名申请 TLS 证书进行劫持。比较搞笑的是出现这种低级错误的绝对不只是万事达,因为研究人员也确实将 akam.ne 注册为 DNS 服务器,随后每天收到 10 万 DNS 请求,这意味着还有大量企业在使用 Akamai 服务时出现把 DNS 服务器域名拼错的低级错误。鉴于域名已经被研究人员注册所以也不会出现太大问题,于是研究人员在自己的 LinkedIn 上公布了这个错误,万事达很快承认错误并进行修复,强调该问题没有造成任何影响。但研究人员未通过先公布的做法引起了万事达的不满。
消息转自蓝点网。真的是低级错误,而且理论上所有使用过万事达卡的用户均可能被盗刷。
万事达的都得锁国外了,境外还得是visa 
