Ερευνητές εκμεταλλεύτηκαν ευπάθειες στους πελάτες WHOIS και ανακάλυψαν ότι ο παλιός τομέας διακομιστή WHOIS της κατάληξης .MOBI ήταν διαθέσιμος για αγορά, οδηγώντας σε απροσδόκητο έλεγχο του τομέα.
Ο διακομιστής τους έλαβε 2,5 εκατομμύρια ερωτήματα από διάφορους φορείς, συμπεριλαμβανομένων κυβερνητικών και στρατιωτικών, εταιρειών κυβερνοασφάλειας και Αρχών Πιστοποίησης (CAs), αποκαλύπτοντας σημαντικούς κινδύνους ασφαλείας.
Το περιστατικό αναδεικνύει τις ευπάθειες στο σύστημα WHOIS και στη διαδικασία επαλήθευσης των Πιστοποιητικών Αρχών (CA), υπογραμμίζοντας την ανάγκη για συνεχή δοκιμή ασφάλειας και επαγρύπνηση απέναντι στην παρωχημένη υποδομή του διαδικτύου.
Ερευνητές ξόδεψαν $20 για να αποκτήσουν απομακρυσμένη εκτέλεση κώδικα (RCE) και κατά λάθος έγιναν διαχειριστές του TLD .mobi λόγω ενός ληγμένου domain.
Το περιστατικό υπογραμμίζει τη σημασία του να μην αφήνουμε ποτέ ένα domain να λήξει και προτείνει ότι το μονοπώλιο της Verisign στα domains θα πρέπει να ρυθμιστεί.
Το άρθρο τονίζει την ευθραυστότητα του TLS/SSL και την κρίσιμη ανάγκη διατήρησης της ιδιοκτησίας του τομέα για την αποτροπή παραβιάσεων ασφαλείας.
Η Pave, μια startup που υποστηρίζεται από το YC, βοηθά άλλες startups με την αποζημίωση ενσωματώνοντας με συστήματα HR και Payroll για να συγκεντρώσει δεδομένα και να παρέχει αναλύσεις εύρους αποζημίωσης.
Υπάρχουν ανησυχίες σχετικά με το αν αυτή η πρακτική θα μπορούσε να θεωρηθεί ως αντι-ανταγωνιστική καθορισμός μισθών, παρόμοια με την περίπτωση της RealPage, εγείροντας ερωτήματα σχετικά με τη νομιμότητα της συμπαιγνίας στους μισθούς.
Η νομιμότητα και οι ηθικές επιπτώσεις του επιχειρηματικού μοντέλου της Pave βρίσκονται υπό εξέταση, καθώς η συμπαιγνία στους μισθούς είναι γενικά παράνομη.