Global de domain-name overlord ICANN encontrou outra brecha de segurança em seus sistemas.
Desta vez, os dados confidenciais sobre as empresas que disputam novos domínios dot-palavra pode ter sido snooped sobre por rivais registados em catch-all portal da ICANN - o que significa informações comercialmente sensíveis, bem como importantes detalhes técnicos sobre a expansão da internet estavam em risco. O org tomou desde o web apps vulneráveis offline.
"Em certas circunstâncias, um usuário do portal autenticado poderia visualizar dados de, ou relacionados a, outros usuários", disse o sem fins lucrativos em um anúncio .
Isso inclui dados: informações técnicas sobre a adição de novos domínios genéricos de primeiro nível (gTLDs) para DNS raiz da internet; informações de contato; detalhes comercialmente sensíveis de lançamentos dot-Word; e interações entre os operadores de peças centrais do sistema de nomes de domínio da internet e ICANN como seu supervisor.
"Atualmente, não há indicação de que este problema resultou em qualquer exposição real de dados a uma parte não autorizada", acrescentou ICANN. "Também não há indicação de que qualquer outra pessoa que não os autorizados para acessar o portal fez. Estamos trabalhando para implementar uma solução para o problema relatado e trazer de volta os portais online."
"Divisão Global Domains (GDD) Portal" da ICANN supervisiona todas as operações de domínios genéricos de primeiro nível. Ele foi lançado pouco menos de um ano atrás. O site abrange todas as comunicações com os operadores destes domínios de alto nível - como .london e .book - e roda em plataforma segura do Salesforce.
Desde Salesforce não anunciou uma vulnerabilidade no seu software, sugere o pessoal da ICANN indevidamente criação do portal, deixando os dados confidenciais expostos a outros usuários autenticados.
Não é a primeira vez
O cockup é uma reminiscência de uma outra oscilação segurança ICANN, também sobre requerimentos para novos gTLDs, quando os usuários relataram que podiam ver os detalhes de outros candidatos quando conectado ao sistema da ICANN.
Essa "falha" de volta em abril de 2012 viu ICANN derrubar seu aplicativo web por um mês , e forçou um atraso no lançamento de seu marco dot-palavra da corrida do ouro que tinha vindo a trabalhar há mais de quatro anos.
Anúncio desta semana também segue na esteira de um ataque de phishing lança em dezembro, onde uma série de sistemas da ICANN foram comprometidos , incluindo o Sistema de Zonas centralizado de dados (CZDS) - onde os arquivos de zona raiz do núcleo internet são espelhadas - as páginas wiki do Governamental Comité Consultivo (GAC), o portal Whois registro de domínio, e no blog da organização.
Esse incidente revelou que a ICANN não usar a autenticação de dois fatores básicos mesmo para muitos de seus sistemas.
Coincidentemente em torno do mesmo tempo que o dezembro Sanfu, registro dot-com e mantenedor de zona de raiz da internet, Verisign, advertiu em um trabalho demorado que era preocupado com competência técnica da ICANN .
O relatório de 33 páginas forneceu uma longa lista de problemas técnicos e de segurança na ICANN, e notou que havia um "crescente lista de exemplos onde histórico operacional da ICANN deixa muito a desejar."
O orçamento da ICANN explodiu nos últimos anos, graças ao programa gTLD, que viu cerca de 2.000 pedidos de novas extensões de internet, cada uma custando $ 185,000 simplesmente para se candidatar. Além disso, a ICANN recebeu até agora mais de metade do seu orçamento anual anterior (mais de US $ 30 milhões) em receitas de leilões de palavras-ponto novas onde não havia partidos concorrentes. ICANN também recebe honorários de ambos os registros e registradores com base no número de nomes de domínio que são registrados.
Apesar da explosão de renda, apenas cinco por cento do orçamento da ICANN é gasto na realização do trabalho técnico que ele foi originalmente criado para levar a cabo. ®
Nenhum comentário:
Postar um comentário