近期傳出有多個加密貨幣平臺的網域遭到駭客劫持,這些受害者共通點都是由Squarespace所接收的Google Domains用戶,安全研究人員認為,這些受害用戶的網域之所以都遭到劫持,是因為Squarespace在將Google Domains用戶遷移至自家服務的過程,針對尚未註冊Squarespace帳戶的Google Domains用戶,直接以用戶所使用的電子郵件帳戶先行標註所屬的網域,一旦駭客搜尋到這些電子郵件帳號,並搶先代為註冊Squarespace帳戶,就可接管他人網域。

上周傳出有多個加密貨幣平臺的網域遭到駭客劫持,包括Compound Finance、Celer Network及Pendle等,它們皆為Squarespace用戶,資安專家揣測,很可能是Squarespace把Google Domains網域遷移到自家服務的程序出了差錯,才讓駭客得以劫持眾多網域。

Google是在去年6月宣布退出網域名稱註冊市場,並將Google Domains業務出售給Google Workspace經銷商Squarespace,由Squarespace接手Google Domains所代管的約1,000萬網域。接著Squarespace便著手將Google Domains用戶分批遷移至自家服務,網域名稱所有人會在完成遷移時收到Google通知,不過,雙方並未公布完整的遷移時程。

由於迄今Squarespace尚未出面說明此事,而讓資安專家著手釐清可能出錯的環節。代號為samczsun、tayvano與AndrewMohawk的安全研究人員共同撰寫了一篇文章,認為Squarespace為了方便大量遷移,只要是Google Domains的用戶以同樣的電子郵件註冊了Squarespace,就會在自己的系統上直接將原本隸屬於該帳戶的網域名稱指派給該帳戶。

但對於那些尚未註冊Squarespace帳戶的Google Domains用戶,也會根據後者所使用的電子郵件帳戶先行標註所屬的網域。

由於網域名稱註冊者的電子郵件帳戶很可能是公開的或是很方便查到的,因此,駭客只要利用這些電子郵件帳戶去註冊Squarespace,就可能取得網域的控制權。

tayvano向KrebsOnSecurity解釋,一來向Squarespace註冊的新帳戶尚無密碼,只會導至密碼建立流程,二來Squarespace並未對此一新帳戶進行電子郵件身分驗證,因此,只要透過這些尚未在Squarespace註冊的電子郵件進行註冊,就可取得別人的網域。

劫持了他人網域的駭客就能將流量導至其它惡意網站以發動網釣攻擊,取得Google Workspace租戶控制權,或是存取該網域的電子郵件,也能建立或變更使用者與其權限,或者利用Google OAuth 2.0以登入第三方網站。

資安專家們建議Squarespace的網域用戶應該啟用雙因素身分驗證,以及移除其它可存取該網域的陌生對象,未來最好選擇更安全的網域名稱供應商,另外也有針對Google的批評聲浪,指出Google處理Google Domains與Google Workspace的方式破壞了他們對Google的信任。

熱門新聞

Advertisement