Golpistas sequestram subdomínios de universidades para hospedar pornografia

Alex Shakhov, fundador da SH Consulting, descobriu recentemente que golpistas, associados por outro pesquisador ao grupo Hazy Hawk, assumiram o controle de subdomínios em sites oficiais de universidades. Exemplos incluem o causal.stat.berkeley.edu hospedando vídeos pornográficos, o conversion-dev.svc.cul.columbia.edu contendo links para conteúdo sexual de academia e o provost.washu.edu servindo um PDF fraudulento que alega falsamente infecções por vírus. Resultados de busca do Google mostram milhares dessas páginas sequestradas com alto ranqueamento devido à reputação das universidades. Pesquisas no Google como site:berkeley.edu “xxx” revelam dezenas desses resultados, embora alguns tenham sido removidos recentemente. Shakhov explicou a causa raiz: as organizações criam registros DNS CNAME para subdomínios, mas não os excluem após a desativação. “A causa raiz é simples: as organizações criam registros DNS e nunca os limpam. Não há data de validade em um registro CNAME. Ninguém recebe um alerta quando o destino para de responder. E a maioria dos departamentos de TI das universidades não mantém um inventário abrangente de seus subdomínios e para onde eles apontam”, escreveu Shakhov. A estrutura descentralizada das universidades agrava o problema, com departamentos e laboratórios criando subdomínios de forma independente sem processos adequados de desativação. Shakhov recomenda que as organizações façam o inventário de todos os subdomínios, auditem registros órfãos e removam CNAMEs inativos. Apenas algumas das universidades afetadas tomaram providências, e algumas ainda exibem páginas indexadas nos resultados de busca apesar das correções. Pedidos de esclarecimento enviados à UC Berkeley, à Columbia e à Universidade Washington não obtiveram resposta.