El pasado 20 de junio algunos usuarios de la red social LinkedIn advirtieron de un sospechoso cambio en los DNS usados por la compañía. Cuando intentaban visitar el sitio web de LinkedIn este no respondía debido a que el nombre de dominio no estaba apuntando a los servidores de LinkedIn.

Los DNS de LinkedIn, gestionados por Network Solutions fueron reemplazados por servidores de nombres del dominio ztomy.com en un rango de IP’s que pertenecen a una compañía que se encuentra en una lista negra (http://hostexploit.com/) de servidores que envían spam y/o alojan sitios con contenido phishing.

Eso hizo que muchos usuarios temieran que los DNS de LinkedIn habían sido secuestrados para robar credenciales debido a que un navegador confía en el dominio para enviar las cookies de sesión hacia el servidor web. 

Aunque LinkedIn fuese el sitio sobre el que la noticia saltó, poco a poco se advirtió que el supuesto ataque afectaba a más dominios. En concreto, y según comentó Jaeson Schultz de Cisco, casi 5.000 dominios registrados con Network Solutions presentaban el mismo problema, todos apuntaban al mismo IP.

Finalmente Network Solutions, comunicaba que se trataba de un error humano y no de un ataque. Al parecer Network Solutions estaba siendo víctima de un ataque distribuido de denegación de servicio y posiblemente mientras trataban de aplicar alguna contramedida configuraron erróneamente los registros que gestionan causando la resolución errónea de miles de dominios de sus clientes.

Más información:
Fuente: Hispasec