Вчера утром Брайан Берг, сооснователь сервиса App.net (продвинутый вариант твиттера) обратил внимание общественности на изменившуюся DNS-запись сервиса LinkedIn.com. Ко времени публикации его сообщения уже больше часа все пользователи LinkedIn направлялись в постороннюю сеть, которая размещается в компании confluence-networks.com.
Брайан Берг немедленно поднял тревогу, сообщив об «угоне DNS-записи» сайта LinkedIn.
Пользователи могли и сами убедиться, что их аутентификационные куки пошли по незащищенному каналу на новый IP-адрес, потому что в браузере пропал значок SSL-соединения.
Что самое интересное, в точности такая же ситуация в те же часы наблюдалась с финансовым сайтом Fedility.com, который тоже «переместился» в сеть 204.11.56.0/22 (Confluence Networks), также как более 1000 других серверов.
Queried whois.arin.net with "n 204.11.56.17"... NetRange: 204.11.56.0 - 204.11.59.255 CIDR: 204.11.56.0/22 OriginAS: AS40034 NetName: CONFLUENCE-NETWORKS--TX3 NetHandle: NET-204-11-56-0-1 Parent: NET-204-0-0-0-0 NetType: Direct Allocation Comment: Hosted in Austin TX. Abuse : abuse@confluence-networks.com
Сегодня выяснилось, оператор DNS-серверов Network Solutions таким образом защищалась от DDoS-атаки, так что никакого «взлома» и угона DNS-записей не было.
Неразбериха возникла из-за того, что Network Solutions несвоевременно уведомила клиентов о своих действиях, а новым нейм-сервером был назначен непонятный ns1617.ztomy.com в сети посторонней компании — поэтому и возникло впечатление «угона» DNS-записи злоумышленником, как будто кто-то проник в сеть Network Solutions.
