Hacker News 의견

• 연구와 관련된 의견으로, 공개 등록 가능한 네임서버는 드문 경우이며, 클라우드 제공자의 IP 주소로 직접 매핑되는 것이 더 흔함

  • 클라우드 서비스의 범위와 가시성 부족으로 인해 기업은 하위 도메인에서 취약점을 가질 가능성이 높음
  • 버그 바운티 프로그램은 종종 하위 도메인 탈취를 유효한 보안 위협으로 인정하지 않음
  • 이러한 구성 관리 실수로 인해 민감한 정보가 유출된 사례가 있음
  • 현재의 취약점 공개 환경은 기업이 취약점을 인정하지 않도록 쉽게 만듦
  • 이러한 취약점은 TLS 인증서를 발급하는 데 악용될 수 있음

• Bugcrowd와 관련된 이야기는 예상 밖의 내용임

  • Bugcrowd가 플랫폼 외부의 행동을 규제하려고 하거나, Mastercard가 Bugcrowd 직원을 사칭하는 것일 수 있음
  • 두 가지 옵션 모두 바람직하지 않음

• 보안 연구자가 더 많은 증거를 수집하기 위해 더 깊이 침투할 가능성이 있음

  • 연구자에게 충분한 보상을 제공하여 영향이 축소되도록 해야 함
  • 연구자를 억압하려는 시도는 잘못된 PR 직원의 행동일 수 있음

• akam.ne 도메인은 이전에 등록된 적이 있으며, 유사한 오타 도메인이 등록된 사례가 있음

  • 이러한 도메인은 독일의 인터넷 서버와 연결되어 있었음

• 우크라이나에서 MasterCard의 SSL 인증서가 만료되어 온라인 거래에 문제가 발생했음

  • 인증서 갱신이 이루어지지 않았고, 서비스가 조용히 중단됨

• MasterCard의 실수로 인해 도메인이 원래 TLD와 한 글자 차이인 경우 문제가 발생할 수 있음

  • 이러한 도메인이 존재하지 않으면 잘못된 DNS 요청이 발생하지 않을 것임

• Vercel을 사용하는 벤더의 도메인 변경으로 인해 보안 사고가 발생했음

  • 도메인이 풀로 돌아가자마자 공격자가 이를 획득하여 악성코드를 배포함

• 도메인 이름을 Akamai에 제공했어야 하며, Akamai는 이를 처리할 책임이 있음

• MasterCard 외에도 캐나다의 은행과 Canada Post에서도 유사한 문제가 발생했음

  • Canada Post는 문제를 해결했지만, 은행은 문제를 해결했다가 다시 발생시킴