Вчера утром Брайан Берг, сооснователь сервиса App.net (продвинутый вариант твиттера) обратил внимание общественности на изменившуюся DNS-запись сервиса LinkedIn.com. Ко времени публикации его сообщения уже больше часа все пользователи LinkedIn направлялись в постороннюю сеть, которая размещается в компании confluence-networks.com.

Брайан Берг немедленно поднял тревогу, сообщив об «угоне DNS-записи» сайта LinkedIn.

Пользователи могли и сами убедиться, что их аутентификационные куки пошли по незащищенному каналу на новый IP-адрес, потому что в браузере пропал значок SSL-соединения.

Что самое интересное, в точности такая же ситуация в те же часы наблюдалась с финансовым сайтом Fedility.com, который тоже «переместился» в сеть 204.11.56.0/22 (Confluence Networks), также как более 1000 других серверов.

Queried whois.arin.net with "n 204.11.56.17"... 
NetRange:       204.11.56.0 - 204.11.59.255 
CIDR:           204.11.56.0/22 
OriginAS:       AS40034 
NetName:        CONFLUENCE-NETWORKS--TX3 
NetHandle:      NET-204-11-56-0-1 
Parent:         NET-204-0-0-0-0 
NetType:        Direct Allocation 
Comment:        Hosted in Austin TX. 
Abuse :         abuse@confluence-networks.com

Сегодня выяснилось, оператор DNS-серверов Network Solutions таким образом защищалась от DDoS-атаки, так что никакого «взлома» и угона DNS-записей не было.

Неразбериха возникла из-за того, что Network Solutions несвоевременно уведомила клиентов о своих действиях, а новым нейм-сервером был назначен непонятный ns1617.ztomy.com в сети посторонней компании — поэтому и возникло впечатление «угона» DNS-записи злоумышленником, как будто кто-то проник в сеть Network Solutions.



Оставить мнение