استغل محتالون ضعف عمليات حفظ السجلات في جامعات كبرى للسيطرة على مئات النطاقات الفرعية، حيث يتم استخدامها لعرض مواد إباحية صريحة وعمليات احتيال خبيثة. وقد حدد الباحث أليكس شاخوف ما لا يقل عن 34 مؤسسة متأثرة، بما في ذلك جامعة كاليفورنيا في بيركلي، وجامعة كولومبيا، وجامعة واشنطن في سانت لويس. وتنشأ هذه الثغرات نتيجة عدم إزالة سجلات نظام أسماء النطاقات (DNS CNAME) الخاصة بالنطاقات الفرعية التي تم إيقاف العمل بها.
كشف أليكس شاخوف، مؤسس شركة SH Consulting، مؤخراً أن محتالين، ربطهم باحث آخر بمجموعة Hazy Hawk، قد استولوا على نطاقات فرعية على مواقع جامعية رسمية. ومن بين الأمثلة على ذلك، استضافة causal.stat.berkeley.edu لمقاطع فيديو إباحية، ورابط conversion-dev.svc.cul.columbia.edu الذي يؤدي إلى محتوى رياضي صريح، وموقع provost.washu.edu الذي يعرض ملف PDF احتيالي يدعي كذباً وجود إصابات في أجهزة الكمبيوتر. وتظهر نتائج بحث جوجل آلافاً من هذه الصفحات المخترقة التي تحتل مراتب متقدمة بفضل سمعة الجامعات. وتكشف عمليات البحث على جوجل باستخدام عبارات مثل site:berkeley.edu “xxx” عن العديد من هذه النتائج، رغم أن بعضها قد تمت إزالته مؤخراً. وأوضح شاخوف السبب الجذري قائلاً: "السبب بسيط، وهو أن المؤسسات تنشئ سجلات DNS CNAME للنطاقات الفرعية ولا تحذفها بعد إيقاف تشغيلها. لا يوجد تاريخ انتهاء لصلاحية سجل CNAME، ولا يتلقى أحد تنبيهاً عندما يتوقف النطاق المستهدف عن الاستجابة. كما أن معظم أقسام تكنولوجيا المعلومات في الجامعات لا تحتفظ بجرد شامل لنطاقاتها الفرعية والوجهات التي تشير إليها". وتزيد الهياكل اللامركزية في الجامعات من تفاقم المشكلة، حيث تقوم الأقسام والمختبرات بإنشاء نطاقات فرعية بشكل مستقل دون وجود عمليات مناسبة لإيقاف تشغيلها. ويوصي شاخوف المؤسسات بجرد جميع النطاقات الفرعية، وإجراء عمليات تدقيق للسجلات المعلقة، وإزالة سجلات CNAME غير النشطة. لم تتخذ سوى قلة من الجامعات المتأثرة إجراءات بهذا الشأن، ولا تزال بعض الجامعات تُظهر صفحات مؤرشفة في نتائج البحث رغم عمليات الإصلاح. ولم تتلقَّ الاستفسارات الموجهة إلى جامعة كاليفورنيا في بيركلي، وجامعة كولومبيا، وجامعة واشنطن أي رد.