Mastercard, colosso del settore dei servizi finanziari, si trova al centro di una polemica a causa di un serio errore di configurazione delle impostazioni DNS. Questo problema, passato inosservato per quasi cinque anni, ha sollevato preoccupazioni riguardo alla sicurezza delle operazioni della società, sotto il rischio di attacchi da parte di malintenzionati. Nel seguente approfondimento, vengono esaminati i dettagli della questione e le reazioni dell'azienda.
Indice dei contenuti
un errore rimasto nascosto per anni
Dal 30 giugno 2020 al 14 gennaio 2025, un server DNS di Mastercard era mal configurato, creando potenziali vulnerabilità. Philippe Caturegli, esperto di sicurezza e fondatore della società Seralys, ha rilevato che Mastercard utilizza ben cinque server DNS forniti da Akamai, un importante player nelle infrastrutture Internet. Tuttavia, uno di questi server era stato indicato con un errore nel dominio, terminando con "akam.ne" anziché "akam.net".
Questa svista, apparentemente banale, ha avuto conseguenze potenzialmente gravi, dato che nella configurazione delle reti ogni dettaglio conta. L’errore è rimasto inosservato fin quando Caturegli, rendendosi conto della vulnerabilità, ha registrato il dominio errato, "akam.ne", che era libero. Appena registrato, ha notato un'alta attività, con centinaia di migliaia di richieste giornaliere.
rischi potenziali e l'intervento di caturegli
Se Caturegli avesse deciso di attivare un server di posta sul dominio "akam.ne", avrebbe potuto intercettare email, compresi messaggi diretti a "mastercard.com" e ad altri domini vulnerabili. Inoltre, avrebbe potuto generare certificati SSL/TLS per fraudolente attività di reindirizzamento web, rischiando di ottenere credenziali di accesso dai computer dei dipendenti delle aziende coinvolte.
Di fronte a questa situazione, Caturegli ha optato per un comportamento responsabile e ha contattato Mastercard per avvisarli dell'errore, offrendo la possibilità di riacquistare il dominio. L'azienda ha riconosciuto la propria responsabilità, ma ha minimizzato il rischio potenziale sulle sue operazioni, suscitando interrogativi sulla serietà con cui è stata affrontata la questione.
la risposta di mastercard e le critiche ricevute
Mastercard ha confermato l'errore e l'ha corretto, ma questo non è bastato a placare le critiche di Caturegli. Secondo lui, la società avrebbe dovuto mostrare maggior riconoscimento nei suoi confronti per aver evidenziato la vulnerabilità. Invece, non ha rimborsato le spese di registrazione del dominio e ha reagito con una mancanza di trasparenza.
Caturegli ha anche dovuto affrontare accuse di divulgazione non etica, provenienti da Bugcrowd, un programma dedicato alla sicurezza informatica che premia i ricercatori per le loro scoperte. Ciò nonostante, il fondatore di Seralys ha mantenuto un approccio professionale, illustrando attraverso post su LinkedIn le potenzialità delle vulnerabilità scoperte.
voci e parallelismi con altri incidenti di sicurezza
Il dominio "akam.ne" ha una storia particolare, essendo stato registrato in precedenza nel 2016 da un soggetto legato a Yandex, per poi scadere nel 2018. Questo passato ha aggiunto un ulteriore strato di preoccupazione riguardo a come le configurazioni errate possano portare a seri problemi di sicurezza.
In un commento a sostegno di Caturegli, un ex dipendente di Cloudflare ha collegato il caso a esperienze simili, evidenziando altri errori di battitura nei domini, con conseguenze analoghe in passato. La lezione da trarre è chiara: la sicurezza delle informazioni aziendali non può essere trascurata e la vigilanza deve essere costante.
un caso da seguire
L'episodio evidenzia quanto sia vitale per le grandi aziende gestire le loro reti con massima attenzione. La questione del dominio errato di Mastercard non è solo un errore tecnico, ma un campanello d'allerta per l'intero settore sui rischi legati alla sicurezza. La protezione dei dati e la sicurezza delle transazioni devono diventare una priorità assoluta, onde evitare che episodi simili possano ripetersi in futuro.
