Мэтью Брайант известен в IT-сфере, как специалист по информационной безопасности. В собственном блоге Брайант регулярно рассказывает о найденных им уязвимостях, пытаясь указать и предотвратить опасности, поджидающие пользователей в мировой паутине.
Как пишет издание Xakep, на днях исследователю случайно удалось получить контроль над полномочными серверами доменных имён в зоне .io, которые по какой-то нелепой ошибке были доступны для регистрации. Обнаружив столь необычную уязвимость, Брайант попробовал пройти регистрацию для ns-a1.io, ns-a2.io, ns-a3.io и ns-a4.io и это сработало, позволив исследователю контролировать тысячи интернет-ресурсов.
Пользоваться своей "властью" ИБ-специалист не стал, а немедленно связался с настоящими операторами зоны .io. Его долго переадресовывали от одного сотрудника к другому, в результате Брайант сохранял контроль над доменной зоной в течение суток. По словам исследователя, хозяевам серверов просто повезло, что именно он обнаружил уязвимость первым. Если бы контроль над доменами получили бы злоумышленники, они смогли бы устроить настоящий хаос.
Как выяснилось позже, в прошлом месяце официальная регистратура зоны .io, .IO TLD, решила подключить к делу третью сторону, компанию Afilias, которая обслуживает бэкэнд более чем 25 доменов верхнего уровня, включая .org, .info и .eco. При этом .IO TLD решила оставить за собой работу с серверами доменных имен зоны .io, а всё остальное планировала передать на аутсорс. Однако сотрудники Afilias позаботились об адресах только трех name-серверов (A0.nic.io, B0.nic.io и C0.nic.io), проигнорировав оставшиеся четыре, которые в итоге остались доступны для регистрации.
