सुरक्षा शोधकर्ताओं का कहना है कि Web3 कंपनियों में DNS हैक्स की एक श्रृंखला पिछले साल स्क्वरस्पेस द्वारा Google Domains के अधिग्रहण से जुड़ी हुई है।
सिद्धांत यह है कि साइबर अपराधियों ने Google Domains से ग्राहक डेटा को अपने सर्वर पर स्थानांतरित करने के लिए स्क्वैरस्पेस द्वारा उपयोग की जाने वाली विधि में एक दोष का पता लगाया है, जिससे उन्हें व्यवस्थापक खातों से जुड़े ईमेल पते का अनुमान लगाने और उनके लिए खाता रिकॉर्ड करने की अनुमति मिलती है।
सुरक्षा शोधकर्ता सैम्ज़सन, टेलर मोनाहन और एंड्रयू मोहॉक ने सप्ताहांत में जारी एक रिपोर्ट में यह आकलन किया। उन्होंने संकेत दिया कि हमले 9 जुलाई को शुरू हुए और अधिग्रहण के बाद सभी प्रभावित संगठनों के डोमेन स्क्वैरस्पेस में स्थानांतरित हो गए।
रजिस्टर मैं चीजों के बारे में उनकी राय जानने के लिए वेबसाइट निर्माता, डोमेन रजिस्ट्रार और यूट्यूब वीडियो के सीरियल प्रायोजक के पास पहुंचा, लेकिन उन्होंने तुरंत कोई जवाब नहीं दिया।
शोधकर्ताओं के अनुसार प्रतिवेदनस्क्वैरस्पेस ने कई ईमेल पतों को पूर्व-पंजीकृत किया, जिनके बारे में उसने सोचा कि माइग्रेशन के बाद डोमेन प्रशासक के रूप में स्थापित करना उपयोगी होगा, बिना यह देखे कि ईमेल खाते मौजूद हैं या नहीं। इसके लिए चुने गए ईमेल पतों की दो श्रेणियों में मूल Google डोमेन खाते से जुड़ा पता और उस डोमेन से जुड़े किसी भी योगदानकर्ता का पता शामिल है।
शोधकर्ताओं का कहना है, “ऐसा प्रतीत होता है कि स्क्वैरस्पेस ने सभी ईमेल को डोमेन से पहले से लिंक करके इसे लागू किया है, भले ही खाता पहले से मौजूद हो या नहीं, शायद इसलिए क्योंकि वे चाहते थे कि उपयोगकर्ता Google के साथ OAuth का उपयोग करने में सक्षम हों और तुरंत अपने सभी क्षेत्रों तक पहुंच प्राप्त कर सकें।” रिपोर्ट।
“हालांकि, चूंकि स्क्वैरस्पेस को पासवर्ड प्रमाणीकरण का उपयोग करके खाता बनाने के लिए ईमेल सत्यापन की भी आवश्यकता नहीं होती है (यानी आप ईमेल पते के बिना @gates.com पर बिल करने के लिए एक खाता बना सकते हैं), धमकी देने वाले अभिनेता ने बस सभी संभावित ईमेल के साथ खाते बनाए किसी डोमेन के साथ माइग्रेट किया जा सकता है लेकिन अभी तक पंजीकृत नहीं किया गया है। एक बार जब धमकी देने वाले अभिनेता को एक वैध ईमेल पता मिल गया, तो उन्हें ईमेल पते को सत्यापित किए बिना संबंधित डोमेन तक पूर्ण पहुंच प्रदान की गई। »
हमले और उनके उद्देश्य
हाल के दिनों में कई वेब3 कंपनियों ने अपने सिस्टम पर आपराधिक कृत्यों को स्वीकार किया है। कथित तौर पर हमले तब होते हैं जब अपराधी पूर्व-पंजीकृत व्यवस्थापक ईमेल पते में से एक का अनुमान लगाते हैं, खाते को अपने लिए पंजीकृत करते हैं, और फिर इसका उपयोग व्यवस्थापक पहुंच प्राप्त करने और डीएनएस पंजीकरण डेटा को बदलने के लिए करते हैं।
डीएनएस रिकॉर्ड डेटा को बदलने से हमलावरों को किसी वेबसाइट के वैध यूआरएल पर आगंतुकों को फ़िशिंग साइटों पर रीडायरेक्ट करने की अनुमति मिलती है, जो अगर अच्छी तरह से डिज़ाइन की गई है, तो वेबसाइट के उपयोगकर्ता की ओर से बहुत अधिक संदेह पैदा नहीं होगा।
क्रिप्टोकरेंसी और ब्लॉकचेन कंपनियों को लक्षित करने वाले मामलों में, शोधकर्ताओं का कहना है कि फ़िशिंग साइटें उपयोगकर्ताओं के डिजिटल वॉलेट से टोकन और अन्य डिजिटल संपत्ति चुराने के लिए डिज़ाइन की गई हैं।
ऐसे मामले भी सामने आए हैं जहां हमलावरों को नए Google वर्कस्पेस व्यवस्थापक खाते बनाते और वहां नए डिवाइस और ब्राउज़र पंजीकृत करते हुए देखा गया है। यह फिर से धन्यवाद के कारण संभव होगा स्क्वरस्पेस ने Google Domains का अधिग्रहण कियास्क्वैरस्पेस और Google Domains दोनों Google Workspace के पुनर्विक्रेता हैं।
यदि Google Workspace को अधिग्रहण से पहले खरीदा गया होता, तो उसे भी स्थानांतरित कर दिया गया होता। यहां खेलने का मुख्य कारक यह है कि स्क्वैरस्पेस एडमिन के पास नए वर्कस्पेस एडमिन बनाने की क्षमता थी, भले ही वे एक न हों। रिपोर्ट में दावा किया गया है कि एक बार जब अपराधियों को स्क्वैरस्पेस एडमिनिस्ट्रेटर खाते तक पहुंच मिल गई, तो वे खुद को वर्कस्पेस एडमिनिस्ट्रेटर के रूप में भी साइन अप करने में सक्षम हो गए।
शोधकर्ताओं की रिपोर्ट में कहा गया है कि एक बार कार्यस्थल प्रशासक के रूप में पंजीकृत होने के बाद, अपराधी ईमेल सहित ऐतिहासिक सेवाओं के साथ-साथ डेटा सिंक्रनाइज़ेशन और मजबूत खाता प्रमाणीकरण को अक्षम करने में सक्षम थे।
कौन चिंतित है?
के अनुसार, सबसे अधिक चर्चित सभी मामलों का समाधान कर लिया गया है यौगिक प्रयोगशालाएँ, अजेय डोमेन, अजमोदाऔर लंगर जिनमें से सभी ने पुष्टि की कि उन्होंने अपने स्क्वैरस्पेस खातों पर दुर्भावनापूर्ण गतिविधि का पता लगाया है।
हालाँकि, वहाँ है सैकड़ों अतिरिक्त डोमेन जिनके बारे में माना जाता है कि वे कम से कम इसी तरह के डीएनएस अपहरण के संपर्क में होंगे, इसलिए यह अभी खत्म नहीं हो सकता है, और यह हममें से सर्वश्रेष्ठ के साथ घटित हो सकता है.
कोई भी संगठन जिसका Google Domains डेटा पिछले साल स्क्वरस्पेस में स्थानांतरित कर दिया गया था, उसे सक्षम करने की सलाह दी जाती है दो-कारक प्रमाणीकरण (2FA) उनके स्क्वरस्पेस खाते पर, क्योंकि यह डिफ़ॉल्ट रूप से सक्षम नहीं है।
हमेशा की तरह, लॉग भी बहुत मददगार हो सकते हैं: उनके माध्यम से जाएं और किसी भी अनधिकृत गतिविधि को पूर्ववत करें, जिसमें व्यवस्थापक खाते, ब्राउज़र, दुर्भावनापूर्ण डिवाइस आदि को हटाना शामिल है। ®