谷歌域名移交问题导致网站接管事件

主要要点

事件概览：谷歌域名移交过程中的问题导致了一系列网站接管事件。攻击者手法：威胁行为者利用Squarespace系统中的漏洞，成功接管了多个域名控制账号。影响范围：至少有十多个加密货币网站被接管，转向了欺诈页面。建议：管理员需密切关注网站并妥善管理所有关联账号的权限。

近期，研究人员在对这一事件的调查中发现，前谷歌域名的移交出现了问题，导致了一系列网站接管事件。来自网络安全集体SEAL911的研究人员对此作出了回应。该消息最早由安全行业专家布莱恩克雷布斯Brian Krebs报道。

研究人员samczsun、tayvano及AndrewMohawk表示：“在几天内，一名未知的威胁行为者利用Squarespace的一个漏洞接管了控制最近迁移的域名的账号，而这些域名是作为Squarespace收购谷歌域名的一部分进行的。”

“借助这种访问权限，攻击者能够将用户重定向到钓鱼网站，截取电子邮件，并劫持Google Workspace前身为GSuite租户，以读取电子邮件和添加设备。”

根据研究人员的说法，这些攻击源于2023年谷歌域名向Squarespace的转交，这标志着搜索巨头退出托管市场。

当Squarespace接管谷歌域名客户的账号时，他们面临的任务是将管理员账号迁移到自己的服务上，这通常意味着将谷歌账号与新的Squarespace管理员账号关联。

研究人员认为，在此过程中，Squarespace未能正确确认这些账号的真实性，而是与新创建的账号相关联。

研究人员解释道：“不幸的是，许多域名的贡献者从未创建过他们的Squarespace账号，要么是因为他们忘记自己获得了贡献者访问权限，要么是因为他们没有预料到不行动会带来安全隐患，这让威胁行为者很容易抢先一步，完全访问他们的账号。”

结果是至少有十多个加密货币网站被接管，这些网站被指向了专门用于劫持加密货币投资者账号的欺诈门户。

尽管该问题已向Squarespace报告，研究人员还是建议管理员要密切关注他们的网站，并仔细管理所有关联账号的权限。

“如果您通过谷歌域名购买了Google Workspace，现在Squarespace是您的授权经销商，”他们指出。

“这意味着，任何访问您的Squarespace账号的人都有机会进入您的Google Workspace，除非您按照此处的说明明确禁用该权限，而您应该这样做。”