近期传出有多个加密货币平台的网域遭到骇客劫持,这些受害者共通点都是由Squarespace所接收的Google Domains用户,安全研究人员认为,这些受害用户的网域之所以都遭到劫持,是因为Squarespace在将Google Domains用户迁移至自家服务的过程,针对尚未注册Squarespace帐户的Google Domains用户,直接以用户所使用的电子邮件帐户先行标注所属的网域,一旦骇客搜寻到这些电子邮件帐号,并抢先代为注册Squarespace帐户,就可接管他人网域。
上周传出有多个加密货币平台的网域遭到骇客劫持,包括Compound Finance、Celer Network及Pendle等,它们皆为Squarespace用户,资安专家揣测,很可能是Squarespace把Google Domains网域迁移到自家服务的程序出了差错,才让骇客得以劫持众多网域。
Google是在去年6月宣布退出网域名称注册市场,并将Google Domains业务出售给Google Workspace经销商Squarespace,由Squarespace接手Google Domains所代管的约1,000万网域。接著Squarespace便著手将Google Domains用户分批迁移至自家服务,网域名称所有人会在完成迁移时收到Google通知,不过,双方并未公布完整的迁移时程。
由于迄今Squarespace尚未出面说明此事,而让资安专家著手厘清可能出错的环节。代号为samczsun、tayvano与AndrewMohawk的安全研究人员共同撰写了一篇文章,认为Squarespace为了方便大量迁移,只要是Google Domains的用户以同样的电子邮件注册了Squarespace,就会在自己的系统上直接将原本隶属于该帐户的网域名称指派给该帐户。
但对于那些尚未注册Squarespace帐户的Google Domains用户,也会根据后者所使用的电子邮件帐户先行标注所属的网域。
由于网域名称注册者的电子邮件帐户很可能是公开的或是很方便查到的,因此,骇客只要利用这些电子邮件帐户去注册Squarespace,就可能取得网域的控制权。
tayvano向KrebsOnSecurity解释,一来向Squarespace注册的新帐户尚无密码,只会导至密码建立流程,二来Squarespace并未对此一新帐户进行电子邮件身分验证,因此,只要透过这些尚未在Squarespace注册的电子邮件进行注册,就可取得别人的网域。
劫持了他人网域的骇客就能将流量导至其它恶意网站以发动网钓攻击,取得Google Workspace租户控制权,或是存取该网域的电子邮件,也能建立或变更使用者与其权限,或者利用Google OAuth 2.0以登入第三方网站。
资安专家们建议Squarespace的网域用户应该启用双因素身分验证,以及移除其它可存取该网域的陌生对象,未来最好选择更安全的网域名称供应商,另外也有针对Google的批评声浪,指出Google处理Google Domains与Google Workspace的方式破坏了他们对Google的信任。