DNS

Tippfehlerkonfiguration bei Mastercard-Servern führte zu hohem Missbrauchsrisiko

Peinliche Domain-Panne für den internationalen Zahlungsdienstleister Mastercard: weil man versehentlich ein »t« in einer Domain vergessen hatte, stand jahrelang die Tür für Cyberkriminelle offen. Zu Schäden ist es nach derzeitigem Stand nicht gekommen.

Wie der Sicherheitsexperte Brian Krebs meldet, verlässt sich Mastercard bei der Abwicklung seines Datenverkehrs auf fünf sogenannte »shared Domain Name System (DNS) server« des Internetdiensleisters Akamai. Im Zeitraum 30. Juni 2020 bis 14. Januar 2025 war einer dieser zentralen Server, über den Mastercard den Datenverkehr für Teile des mastercard.com-Netzwerks leitet, falsch konfiguriert. Die Fehlkonfiguration beruhte auf einem Vertipper: Alle von MasterCard verwendeten Akamai-DNS-Servernamen sollten auf die Domain akam.net enden; ein einzelner Server trug jedoch den Eintrag akam.ne, oder genau gesagt a22-65.akam.ne. Zum Verhängnis wurde Mastercard, dass .ne eine funktionierende Top Level Domain ist, nämlich jene des Staates Niger. Ähnliche Probleme gibt es auch bei .com-Domains; hier profitiert die kolumbianische Landesendung .co immer wieder von fehlerhaften Domain-Eingaben. Im Fall von akam.ne wurde der kritische Tippfehler von Philippe Caturegli, dem Gründer der Sicherheitsberatungsfirma Seralys, entdeckt. Caturegli hat nach eigenen Angaben US$ 300,– und fast drei Monate Wartezeit gebraucht, um die Domain bei der Registry Sonitel in Niger zu registrieren. Deren Website intnet.ne ist aktuell nicht erreichbar.

Hätten sich Cyberkriminelle diese Lücke zu nutze gemacht, wäre das Schadenspotential enorm gewesen. Caturegli berichtet, dass jeden Tag Hunderttausende DNS-Anfragen aus der ganzen Welt auf seinem Server eingingen. Zwar war MasterCard nicht die einzige Organisation, die versehentlich einen DNS-Eintrag mit akam.ne erstellt hatte, aber sie waren bei weitem die größte. Hätte er einen eMail-Server auf seiner neuen Domain akam.ne aktiviert, hätte Caturegli wahrscheinlich ungewollte eMails erhalten, die an mastercard.com oder andere betroffene Domains gerichtet waren. Das hat er aber nicht getan, sondern stattdessen Mastercard informiert und die Übertragung der Domain angeboten. Caturegli erläutert:

Before making any public disclosure, I ensured that the affected domain was registered to prevent exploitation, mitigating any risk to MasterCard or its customers. This action, which we took at our own expense, demonstrates our commitment to ethical security practices and responsible disclosure.

Wenige Stunden später räumte Mastercard den Fehler ein.

We have looked into the matter and there was not a risk to our systems. This typo has now been corrected.

Wie Brian Krebs weiter meldet, war Caturegli nicht der erste Inhaber der Domain akam.ne. Jedenfalls im Dezember 2016 war sie auf eine Person registriert, die über den russischen Suchmaschinenanbieter Yandex per eMail unter um-i-delo@yandex.ru erreichbar war oder ist. Passive DNS-Einträge von domaintools.com würden weiter zeigen, dass die Domain zwischen 2016 und 2018 mit einem Server in Deutschland verbunden war und dass die Domain bis 2018 ablief.

Für alle, die in größerem Umfang sensible Daten versenden und empfangen, ist der Fall Mastercard nicht zuletzt vor dem Hintergrund der DSGVO und der NIS-2 ein erneuter Weckruf, auf effektives Management des eigenen Domain-Portfolios zu achten. Aus solch leicht vermeidbaren Fehlern können rasch ernstzunehmende Risiken für ein Unternehmen entstehen, von Schäden und Bußgeldern ganz abgesehen. Und sie zeigen nochmals auf, dass die eigene .brand Chancen bietet, Kontrolle über sensible Daten zu erhalten und zu behalten.

Kommentar schreiben

Ihre E-Mail-Adresse wird nicht veröffentlicht, oder weitergegeben.
Bitte füllen Sie die gekennzeichneten Felder aus.*

Abonnieren Sie unseren Newsletter

Der Domain-Newsletter von domain-recht.de ist der deutschsprachige Newsletter rund um das Thema "Internet-Domains". Unser Redeaktionsteam informiert Sie regelmäßig donnerstags über Neuigkeiten aus den Bereichen Domain-Registrierung, Domain-Handel, Domain-Recht, Domain-Events und Internetpolitik.

Mit Bestellung des Domain-Recht Newsletter willigen Sie darin ein, dass wir Ihre Daten (Name und E-Mail-Adresse) zum Zweck des Newsletterversandes in unseren Account bei der Optimizly GmbH (vormals Episerver GmbH), Wallstraße 16, 10179 Berlin übertragen. Rechtsgrundlage dieser Übermittlung ist Artikel 6 Absatz 1 Buchstabe a) der Europäischen Datenschutzgrundverordnung (DSGVO). Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie am Ende jedes Domain-Recht Newsletters auf den entsprechenden Link unter "Newsletter abbestellen? Bitte einfach hier klicken:" klicken.

Top