国际卡组织万事达低级错误：主域名DNS拼写错误导致可以被劫持

国际支付卡组织万事达 (MasterCard) 日前已修复其域名服务器设置中的明显错误，这项错误使得任何人都可以注册拼写错误的域名来拦截或转移万事达的网络流量。

这项错误的持续时间长达 5 年，自 2020 年 6 月 30 日起到 2025 年 1 月 14 日结束，关键问题在于万事达的工程师在进行配置时不慎将 akam.net 写成 akam.ne

NE 域名是非洲国家尼日尔的国别顶级域名 (ccTLD)，研究人员发现这个错误后自费 300 美元从尼日尔注册了这个这个域名，随后就可以收到万事达转移的流量。

万事达的官方域名 MasterCard.com 依赖于互联网基础设施服务提供商 Akamai 的 5 组 DNS 服务器，其中 akam.net 就是其中 1 个，而万事达工程师将其拼成了 akam.ne。

理论上说 5 组服务器应当是轮询解析流量，不过实际上 DNS 服务器通常为第一组提供主要流量解析，后面的几组作为备份使用，即便其中一个有问题也没关系，会自动切换成其他 DNS 来解析。

万事达将其 DNS 配置的一组设置为 akam.ne 后没有对实际业务造成影响，原因就是这个域名之前是无效的因此不会参与实际解析，直到研究人员注册了这个域名。

在研究人员注册这个域名后，还是理论上说，研究人员可以将该域名注册为 DNS 服务器，然后将 MasterCard.com 指向自己的服务器 IP 地址，接下来能够执行的恶意操作就挺多的了，例如为该域名申请 TLS 证书进行劫持。

比较搞笑的是出现这种低级错误的绝对不只是万事达，因为研究人员也确实将 akam.ne 注册为 DNS 服务器，随后每天收到 10 万 + DNS 请求，这意味着还有大量企业在使用 Akamai 服务时出现把 DNS 服务器域名拼错的低级错误。