Tippfehler in Konfiguration

Nach DNS-Fehler: Mastercard will LinkedIn-Post löschen lassen

Mastercard
Bildquelle: Primakov/Shutterstock.com
LinkedInRedditWhatsAppPocket

Ein simpler Tippfehler in der DNS-Konfiguration von Mastercard hätte weitreichende Folgen haben können. Ein Sicherheitsforscher entdeckte die Lücke und sicherte die betroffene Domain. Der Zahlungsdienstleister zeigte sich wenig dankbar.

Ein Sicherheitsforscher hat eine schwerwiegende Fehlkonfiguration in der DNS-Infrastruktur von Mastercard aufgedeckt, die fast fünf Jahre lang unbemerkt blieb. Die Schwachstelle ermöglichte potenziell die Umleitung von Internetverkehr des Zahlungsdienstleisters durch die simple Registrierung einer ungenutzten Domain.

Anzeige

Tippfehler mit Folgen

Im Zeitraum vom 30. Juni 2020 bis zum 14. Januar 2025 enthielt einer der zentralen DNS-Server von Mastercard einen folgenschweren Tippfehler. Das Unternehmen nutzt fünf DNS-Server des Infrastrukturanbieters Akamai zur Verwaltung des Datenverkehrs für das mastercard.com-Netzwerk. Während alle Server-Namen standardmäßig auf „akam.net“ enden sollten, wurde einer fehlerhaft als „akam.ne“ konfiguriert.

Philippe Caturegli, Gründer des Sicherheitsberatungsunternehmens Seralys, stieß auf diese Fehlkonfiguration und stellte fest, dass die Domain akam.ne – die unter der Verwaltung der Domain-Behörde des westafrikanischen Staates Niger steht – noch nicht registriert war. Für 300 Dollar und nach dreimonatiger Wartezeit konnte er die Domain sichern.

Erhebliches Missbrauchspotenzial

Nach Aktivierung eines DNS-Servers auf akam.ne registrierte Caturegli täglich hunderttausende DNS-Anfragen von Standorten weltweit. Die Fehlkonfiguration betraf dabei besonders den Mastercard-Subdomain az.mastercard.com, der vermutlich mit Microsoft Azure-Diensten in Verbindung steht.

Anzeige

Das Missbrauchspotenzial war erheblich:

  • Möglicher Zugriff auf fehlgeleitete E-Mails
  • Potenzielle Ausstellung von SSL/TLS-Zertifikaten für betroffene Websites
  • Theoretische Abfangmöglichkeit von Windows-Authentifizierungsdaten
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Reaktion von Mastercard

Mastercard reagierte auf die Meldung mit der Aussage, es habe „zu keinem Zeitpunkt ein Risiko für unsere Systeme“ bestanden. Das Unternehmen korrigierte den Tippfehler, versuchte aber gleichzeitig Catureglis öffentliche Dokumentation der Schwachstelle auf LinkedIn entfernen zu lassen.

Der Sicherheitsforscher verteidigt sein Vorgehen: „Vor jeder öffentlichen Offenlegung haben wir sichergestellt, dass die betroffene Domain registriert war, um eine Ausnutzung zu verhindern.“ Er kritisiert Mastercards Umgang mit dem Vorfall und deren Kommunikationsstrategie.


Lars

Becker

Redakteur

IT Verlag GmbH

Anzeige

Weitere Artikel

Unternehmen in Berlin und Hamburg bei KI-Nutzung vorne
Beazley: Sebastian Lotz wird erster Underwriter Aviation DACH 
Onlinehandel kann sich nach Absturz wieder stabilisieren
Paukenschlag: Microsoft tritt Cloud-Verband CISPE bei
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.