Инцидент с LinkedIn произошел в результате ошибки регистратора доменных имен

Появилась информация касательно вчерашнего инцидента с социальной сетью LinkedIn, в результате которой часть пользователей перенаправлялась на сторонний ресурс. Как оказалось, виной всему послужила ошибка сотрудников регистратора доменных имен Network Solutions. На ресурсы компания была совершена DDoS, для отбития которой для части клиентов были изменены DNS-записи.

По данным эксперта по безопасности из Cisco Джейсона Шультса , «угон» DNS произошел в результате того, что серверы доменных имен Network Solutions были заменены серверами ztomy.com, в результате чего могло пострадать порядка 5 000 доменов. Эксперт также отметил, что ситуация действительно выглядит так, как будто это механическая ошибка, допущенная сотрудником Network Solutions.

Доменные серверы ztomy.com были настроены таким образом, чтобы отвечать адресми в диапазоне 204.11.56.0/24. Этот диапазон отвечает IP адресам провайдера Confluence Networks.

Злоумышленники часто «угоняют» доменные имена для перехвата сессионных cookies, распространения вирусов и перенаправления пользователей на фишинговые ресурсы. Именно поэтому при возникновении вчерашнего инцидента с LinkedIn большинство ИБ-экспертов посчитали, что имела место именно хакерская атака.