Wat er deze morgen foutging bij Scarlet en hoe ze het hadden kunnen vermijden...
Wie deze morgen naar Scarlet.be wou surfen, kwam misschien niet uit bij de Belgische "low-cost" arm van Proximus, maar op websites die je malware probeerden te laten installeren. Hun homepage was "gekaapt".
Ik ging even op onderzoek uit en ontdekte al snel wat er mis was. Het volledige verhaal vertelde deed ik uit de doeken in Datanews maar het komt in het kort neer op:
- iemand bij Scarlet maakte een tikfout, waardoor verwezen werd naar een onbestaande nameserver, op een onbestaande domeinnaam
- iemand met onfrisse intenties zag de fout, registreerde gisteren de domeinnaam en plaatste er een valse nameserver op
- deze valse nameserver stuurde mensen naar de malware website
Met andere woorden: Everything is a Freaking DNS Problem, niet Kris? :)
Maar even ernstig, Proximus/Scarlet, jullie hadden dit kunnen vermijden:
- Bouw mechanismes in jullie systemen die dit soort fouten detecteren voor het live gaat
- Teken jullie zones met DNSSEC
- Monitor de DNS Variants van je belangrijkste domeinnamen
Member discussion