詐欺師らが一流大学の不適切な記録管理を悪用し、数百ものサブドメインを乗っ取って、露骨なポルノや悪質な詐欺サイトを配信していることが判明した。研究者のAlex Shakhov氏は、カリフォルニア大学バークレー校、コロンビア大学、セントルイス・ワシントン大学など、少なくとも34の教育機関で被害を確認した。脆弱性の原因は、運用が終了したサブドメインのDNS CNAMEレコードが削除されずに残っていたことにある。
SH Consultingの創設者であるAlex Shakhov氏は、Hazy Hawkグループに関連すると別の研究者が指摘する詐欺師らが、大学の公式サイト上のサブドメインを乗っ取っていることを明らかにした。具体例として、causal.stat.berkeley.eduではポルノ動画が配信され、conversion-dev.svc.cul.columbia.eduは過激なフィットネスコンテンツへ誘導し、provost.washu.eduではコンピューターがウイルスに感染したと偽る詐欺目的のPDFファイルが提供されていた。Googleの検索結果では、大学のドメインの信頼性の高さから、こうした乗っ取られたページが上位に表示されるケースが数千件確認されている。「site:berkeley.edu “xxx”」のように検索すると多数の結果が表示されるが、一部は最近修正されている。Shakhov氏は根本的な原因について、組織がサブドメイン用にDNS CNAMEレコードを作成した後、運用終了時に削除を怠っていることを指摘した。「根本的な原因は単純で、組織はDNSレコードを作成しても決して整理しないからです。CNAMEレコードに有効期限はなく、ターゲットが応答しなくなっても警告は届きません。多くの大学のIT部門では、サブドメインがどこを指しているのかという包括的なインベントリが管理されていません」とShakhov氏は述べている。大学の分散型組織構造も問題に拍車をかけており、各学部や研究室が適切な廃止プロセスを経ることなく独自にサブドメインを作成している状況がある。Shakhov氏は組織に対し、すべてのサブドメインを棚卸しし、放置されたレコードを監査し、非アクティブなCNAMEを削除するよう推奨している。影響を受けた大学のうち対応を講じたのはわずかであり、修正後も検索結果にインデックスされたままのページが一部存在する。カリフォルニア大学バークレー校、コロンビア大学、セントルイス・ワシントン大学に問い合わせたが、回答は得られていない。