Ein Anfängerfehler mit erheblichem Schadenspotential ist der .mobi-Registry Identity Digital Limited unterlaufen. Hackern von WatchTowr war aufgefallen, dass die Domain für den WHOIS-Server von .mobi gewechselt hatte, von whois.dotmobiregistry.net zu whois.nic.mobi. Die nun ungenutzte Domain dotmobiregistry.net hatte die Registry im Dezember 2023 auslaufen lassen, so dass sich die Hacker sie für US$ 20,– schnappten.
Am Freitag, den 30. August 2024, haben sie sodann einen WHOIS-Server unter whois.dotmobiregistry.net eingerichtet, um zu sehen, ob es zu Anfragen kommt. Das Ergebnis war aus Sicht der Hacker verblüffend: bis zum 04. September 2024 gab es 2,5 Mio. Anfragen, darunter von verschiedenen Mailservern unter .gov und .mil. Vor allem aber stellte man fest, dass zahlreiche Zertifizierungsstellen, die für die Ausstellung von TLS/SSL-Zertifikaten für Domains wie google.mobi und microsoft.mobi zuständig sind, über den Mechanismus der »Domain Email Validation« den WHOIS-Server nutzten, um die Inhaber einer Domain zu ermitteln und festzustellen, wohin die Überprüfungsdaten zu senden sind. Die Hacker teilen mit:
Effectively, we had inadvertently undermined the CA process for the entire .mobi TLD.