本文讲的是
DNSPod客服审核不严,导致国内某技术论坛域名被劫持一小时,
今天凌晨,国内知名技术社区吾爱破解论坛发布公告,称网站域名刚刚被人劫持了一个小时左右,考虑到可能有反向代理,建议最近两小时内登录的用户修改密码。
公告中称,2017年5月9日晚间22点28分,吾爱的域名被劫持到一个美国IP上(172.106.139.70),并生成了一个黑页,预计持续时间有个把小时。
吾爱的论坛域名注册在万网,DNS解析用的是腾讯DNSPod。发现域名被劫持后,官方马上将DNS转回了万网,紧急止损并发布安全公告。此时离调查出的劫持时间不到两小时。
吾爱破解论坛发布的安全公告
至于劫持原因,DNSPod在今天早上给到了详细过程。吾爱的域名是DNSPod VIP域名,系统禁止直接被转走,小黑通过工单申诉的方式社工了DNSPod客服人员,通过欺骗NS解析域名,将域名所有权转移(DNSPod VIP域名目前正常流程只有通过工单申诉才可以转移)。
DNSPod后面还承诺,审核加强对客户原始联系的核实并用自动化工具进行验证,对涉案人员会进一步跟进处理。
DNSPod在国内的域名服务商中相对安全口碑还行,没想到在“工单申诉”上也栽了跟头,没有完全核实客服就给操作了。但愿DNSPod能吃一堑长一智,好好理清工单申诉的核实流程。
在此也要提醒各家服务商,“工单申诉”是很常见的攻击方式,如果你们家的客服权限很大,请务必定期检测是否有隐患。
原文发布时间为:2017年5月10日
本文作者:longye
本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。
