知名的資安部落客Brian Krebs本周指出,.gov網域名稱的管理太鬆散,使得一名冒牌鎮長成功取得受管制的.gov網址。

1985年現身的.gov為最早期的通用頂級網域名稱之一,當時全球只有6個通用頂級網域名稱,除了.gov之外,還包括.com、.edu、.mil、.net及.org。不過,.gov有嚴格的規定,只有美國聯邦、州立或是當地的政府機構有權註冊,現由美國聯邦總務署負責管理。

Krebs表示,他日前收到一封來自一名研究人員的來信,該名研究人員宣稱他使用了偽造的Google Voice及Gmail帳號,謊稱自己是美國羅德島州埃克塞特鎮(Exeter)的鎮長,然後透過Google搜尋該鎮的文件,填完資料之後,就獲得了exeterri.gov的網址。

Krebs查詢了一下該網址,發現該網址在今年的11月14日被註冊,而且該研究人員的發信位址就來自exeterri.gov。

這名匿名的研究人員說自己只是作了一個實驗,發現這實在太容易了,對方連驗證他的身分都沒有。美國聯邦總務署則是在收到Krebs的詢問與通知之後,才將該網址撤銷。

Krebs在稍作研究後發現,有許多美國地方政府都未申請自己的.gov網址,例如埃克塞特鎮只申請了.us,並未申請.gov,留下讓駭客行動的空間,此外,美國民眾可能更相信來自.gov網址的信件,將會讓網釣攻擊或訊息的操弄更為容易。

熱門新聞

Advertisement