Эксперты компании Cybermoon и журналисты издания Computerworld обратили внимание, что известный производитель сетевого оборудования, компания TP-LINK, забыл продлить сразу два домена: tplinklogin.net и tplinkextender.net. Оба домена, использующиеся для настройки роутеров и других устройств, перекупил некто неизвестный и теперь он требует от компании $2,5 млн за каждый.
TP-Link forgot to buy the domain https://t.co/kggHaY7Xhl
Exploit can be made, the domain is for sell for 2.5m$ pic.twitter.com/JH7FkHItYU— Amitay Dan (@popshark1) July 1, 2016
Хотя пользователи всегда могут найти панель управления своего роутера по IP (к примеру, 192.168.1.1), производитель также предоставлял им альтернативу в виде вышеозначенных доменов. В инструкциях ко многим девайсам, а также на стикерах, которые можно обнаружить непосредственно на корпусах устройств, пользователям рекомендуют общаться к tplinklogin.net. Фактически оба домена использовались для перенаправления пользователей в админку их устройств. В последние годы компания стала чаще использовать в инструкциях домен tplinkwifi.net, который по-прежнему находится под контролем TP-LINK.
По сути, на потерянных производителем доменах не было сайтов, они лишь обрабатывали DNS-запросы и перенаправляли пользователей в панель управления их устройствами.
Ошибку компании быстро заметили злоумышленники. Специалисты Cybermoon сообщают, что некий аноним оперативно перерегистрировал оба доменных имени на себя и теперь продает их в даркнете, по цене $2,5 млн за каждый домен.
Похоже, TP-LINK не собирается возвращать домены и вести переговоры со злоумышленником. Очевидно, в компании сочли, что будет проще удалить упоминания доменов из инструкций и со стикеров новых устройств. В Cybermoon полагают, что это может поставить под угрозу обладателей старых устройств, на которых указаны те самые адреса. Обратившись к такому адресу, в будущем пользователи рискуют попасть на домен подконтрольный злоумышленникам, через который может осуществляться распространение малвари, или простейший фишинг под видом предложения «скачайте новую прошивку для вашего роутера».
Эксперты настоятельно рекомендуют пользователям обращаться к устройствам по IP-адресу, а интернет-провайдерам советуют заблокировать tplinklogin.net и tplinkextender.net вовсе, чтобы предотвратить возможную компрометацию пользователей.
