Des escrocs ont profité d'une mauvaise gestion des archives dans de prestigieuses universités pour détourner des centaines de sous-domaines, diffusant ainsi de la pornographie explicite et des escroqueries malveillantes. Le chercheur Alex Shakhov a identifié au moins 34 institutions touchées, dont l'université de Californie à Berkeley (UC Berkeley), l'université Columbia et l'université Washington à Saint-Louis. Les vulnérabilités proviennent d'enregistrements DNS CNAME non supprimés pour des sous-domaines mis hors service.
Alex Shakhov, fondateur de SH Consulting, a récemment découvert que des escrocs, liés par un autre chercheur au groupe Hazy Hawk, ont pris le contrôle de sous-domaines sur les sites web officiels d'universités. Parmi les exemples figurent causal.stat.berkeley.edu, qui héberge des vidéos pornographiques, conversion-dev.svc.cul.columbia.edu, qui renvoie vers du contenu explicite sur le fitness, et provost.washu.edu, qui diffuse un PDF frauduleux prétendant faussement que des ordinateurs sont infectés. Les résultats de recherche Google montrent des milliers de pages détournées bénéficiant d'un bon référencement grâce à la réputation des universités. Des recherches Google telles que site:berkeley.edu “xxx” révèlent de nombreux résultats de ce type, bien que certains aient été nettoyés récemment. M. Shakhov a expliqué la cause fondamentale : les organisations créent des enregistrements DNS CNAME pour des sous-domaines mais omettent de les supprimer après leur mise hors service. "La cause est simple : les organisations créent des enregistrements DNS et ne les nettoient jamais. Il n'y a pas de date d'expiration sur un enregistrement CNAME. Personne ne reçoit d'alerte lorsque la cible cesse de répondre. Et la plupart des services informatiques universitaires ne tiennent pas un inventaire complet de leurs sous-domaines et de leurs points de redirection", a écrit M. Shakhov. La structure décentralisée des universités aggrave le problème, les départements et les laboratoires créant des sous-domaines de manière indépendante sans processus de mise hors service approprié. M. Shakhov recommande aux organisations de répertorier tous les sous-domaines, d'auditer les enregistrements obsolètes et de supprimer les CNAME inactifs. Seules quelques universités concernées ont agi, et certaines affichent encore des pages indexées dans les résultats de recherche malgré les correctifs apportés. Les demandes adressées à l'UC Berkeley, à l'université Columbia et à l'université Washington sont restées sans réponse.