Un sous-domaine oublié sur le point-com de PricewaterhouseCoopers a été détourné pour héberger des publicités pour des sites Web et des applications pornographiques, démontrant clairement pourquoi vous ne devriez pas négliger les enregistrements DNS de votre entreprise.
Le développeur et chercheur en sécurité Vitali Fedulov a déclaré à The Register cette semaine qu’il avait trouvé à deux reprises le sous-domaine pwc.com hébergeant une liste de publicités classées X pour attirer les internautes dans les emporiums de smut en ligne, les applications classées X, les blogs et les salons de discussion réservés aux adultes. . Le matériel apparaît également dans les recherches sur le Web.
Le sous-domaine, amyca-devapi.pwc.com, a depuis été mis hors ligne – il ne se résout plus en adresse IP – bien que ses entrées dans Google restent pour l’instant:
Capture d’écran du sous-domaine PwC apparaissant dans Google hébergeant toutes sortes de contenus pour les plus de 18 ans
Fedulov, qui dirige un moteur de recherche d’images, a déclaré que c’était deux fois trop pour une si grande firme comptable servant des marchés publics.
« Étant donné que l’entreprise fournit des services de sécurité, y compris pour les gouvernements, je pense qu’il est temps de partager les incidents avec le public », a-t-il déclaré. « De plus, parce que, d’après ma communication avec eux, la société ne semble pas intéressée à soutenir la communauté de la cybersécurité en offrant, par exemple, des primes de bug, comme le font d’autres grandes entreprises. »
Alors que PwC a refusé de commenter, Fedulov et El Reg ont réussi à comprendre comment le sous-domaine a été réquisitionné et plâtré avec des publicités sales.
Le sous-domaine, lorsqu’il est créé par PwC, pointe vers amyca-dev-node.azurewebsites.net, un sous-domaine Microsoft Azure personnalisé créé par les compteurs de beans pour héberger une sorte de système de développement d’API dans le cloud. À un moment donné, le comptable goliath a laissé son sous-domaine amyca-dev-node expirer ou expirer, permettant à un mécréant de l’enregistrer. Lorsque les gens et les robots des moteurs de recherche se rendaient sur amyca-devapi.pwc.com, ils étaient dirigés vers l’amyca-dev-node.azurewebsites.net contrôlé par des pirates, qui contenait tout ce que le mécréant voulait – dans ce cas, un ensemble tournant des annonces risquées.
En d’autres termes, il n’y a pas eu d’intrusion dans le réseau PwC lui-même, ni dans aucune autre partie du site dot-com, juste une supercherie DNS et un sous-domaine Azure oublié dans lequel quelqu’un est entré et s’est réenregistré pour lui-même.
Liste blanche des connexions cloud Azure pour graisser vos roues Office 365? À propos de ça…
LIRE LA SUITE
Pour vérifier cela, nous nous sommes tournés vers un organisme infosec qui avait auparavant étudié les reprises de sous-domaines Azure, Numan Ozdemir de la société de sécurité Vullnerability. Ozdemir a jeté un rapide coup d’œil à la situation et a confirmé qu’en fait, l’espace de noms Azure avait été détourné avec ce qu’il appelait des «hacklinks».
Dans ce cas, a expliqué Ozdemir, le mécréant essayait probablement d’utiliser la réputation de PwC et de son point-com pour jouer à Google afin de classer les pages liées aux pages sales plus haut dans les résultats de recherche, une forme particulièrement sournoise de référencement.
« Le sous-domaine dit à Google, » Je suis le site Web de PwC « , qui a une autorité de domaine élevée pour Google », a déclaré Ozdemir au Registre. « Donc, Google fera confiance à ce site Web lié par un hack et vous permettra de jeter un œil. »
Ozdemir a également noté que les mécréants avaient fait des efforts pour garder les câpres sous le radar, laissant une page « à venir bientôt » par défaut sur le sous-domaine du cloud Azure, et ne plaçant que les publicités coquines sur des pages séparées – par exemple: amyca-dev-node .azurewebsites.net / mon-exemple-awesome-adult-app.html. Cela a permis aux malfaiteurs de garder les pages coquines du sous-domaine non détectées pendant deux ou trois mois, une période nécessaire pour renforcer la crédibilité de Google.
« Si vous ajoutez un hacklink et que cela ne dure que deux semaines sur le site Web, Google jugera cela inattendu et cela nuira généralement à votre score SEO », a-t-il déclaré.
Ozdemir a ajouté que ce n’est pas un événement très rare. D’autres grandes entités, y compris les grandes universités et les ministères, ont également vu leurs sous-domaines et domaines oubliés repris et utilisés pour servir de la pornographie ou pire.
C’est cependant quelque chose qui mettra à mal le prestige et la confiance d’une entreprise.
Tout comme le hacker sming-slinging bénéficie du poids du domaine de PwC, la société pourrait voir sa réputation souffrir d’être associée à ces pages louches. La leçon à tirer est la suivante: conserver de bons enregistrements de gestion DNS, affecter des personnes à leur maintenance et ne pas perdre le contrôle de vos sous-domaines. ®
Sponsorisé:
Forrester Construire un portefeuille d’expérience numérique
