Taggat med: NameSRS

Allvarligt fel hos NameSRS

Uppdatering 1: Det verkar som om domänpekningarna är legitima (och ingår i en kampanj via NameISP eller NameSRS) men att blocket.se råkade följa med i bara farten.

Uppdatering 2: NameISP har nu bekräftat via telefon att det var mänskliga faktorn som låg bakom och inget intrång.

Uppdatering 3: msb.se och krisinformation.se var ej påverkade av detta fel hos NameISP. Även värt att påpeka i sammanhanget är att registraren är Sveriges näst största.

Under natten så hackades eller så genomförde någon en stor miss hos domänregistraren NameSRS vilket fick till följd att cirka 11478 .se-domäner pekades om. Bland domänerna som pekades om fanns Blocket.se som under cirka 2h visade en helt annan webbsida:

Förutom att namnservarna var ändrade så ändrades också mailpekaren till följande mailserver:

  • mx224.m2bp.com (206.53.239.77, IQuest Internet)
  • mx224.mb1p.com (206.53.239.75, IQuest Internet)

Att mailpekare ändrades får till följd att det troligtvis varit möjligt för en obehörig att återställa lösenord för tredjepartstjänster samt ta del av E-post som skickats till domänerna.

Och tittar vi på whois-information gällande Blocket.se såg det ut enligt följande, observera namnservrarna:

Förutom Blocket.se så används NameSRS av bl.a. krisinformation.se samt msb.se, oklart huruvida dessa varit påverkade av just detta.