Брошенные домены могут стать причиной утечки данных

31 августа 2018 г., пятница

Аналитикам удалось извлечь email-адреса сотрудников и получить доступ к корпоративной почте бывших владельцев.

Эксперты обеспокоены возможностью получить доступ к личной информации после истечения срока аренды домена. Угрозу обнаружила команда специалистов во главе с исследователем Габором Шатмари (Gabor Szathmari). По их словам, злоумышленники могут приобрести брошенные адреса, чтобы перехватить контроль над электронной почтой пользователей и привязанными к ней аккаунтами в социальных сетях.

Как объясняют исследователи, после истечения срока аренды домен не сразу переходит в новые руки, а консервируется на случай, если прежний владелец захочет возобновить его работу. Срок заморозки определяется регистратором и обычно составляет 30 дней. В это время специализированные сервисы формируют списки брошенных адресов и выставляют их на продажу.

Группа экспертов во главе с Шатмари приобрела шесть доменов, некоторые из них ранее принадлежали австралийским юридическим компаниям. В результате исследователи получили доступ к всему потоку входящих сообщений, адресованных бывшему владельцу. Исследователи прервали эксперимент, собрав 25 тысяч email-сообщений — от корпоративных отчетов до спама.

По мнению специалистов, содержащиеся в них сведения можно использовать в мошеннических целях, поскольку письма содержат email-адреса, личные данные и контакты отправителя. Как выяснилось, похитить аккаунт можно через сервис для хранения корпоративной переписки G Suite. Эксперты лишь запросили восстановление пароля и смогли беспрепятственно пройти все этапы процедуры, остановившись лишь на последнем пункте из этических соображений. Перехват контроля над хранилищем с письмами позволяет видеть не только контакты участников переписки, но и содержание сообщений.

Более того, некоторые сотрудники использовали корпоративный email для регистрации в Facebook, Twitter и LinkedIn. С помощью таких сервисов как SpyCloud и Have I Been Pwned? владелец домена может узнать о привязанных к аккаунту страницах и запросить восстановление пароля, как в случае с G Suite.

Эксперты дают несколько советов по предотвращению утечки:

· удостовериться, что домен имеет бессрочный период действия и будет активен, даже если компания в нем больше не нуждается.

· при переезде на новый адрес стоит отписаться от всех рассылок, которые могут содержать конфиденциальную информацию.

· сотрудникам следует отвязать аккаунты сторонних сервисов от корпоративного email и использовать технологию двухфакторной аутентификации.

Threatpost