Entdeckt wurde die Sicherheitslücke von Philippe Caturegli, dem Gründer der Cybersicherheitsfirma Seralys. In einem Beitrag auf Linkedin erklärte er, dass einer der fünf DNS-Einträge für die Subdomain az.mastercard.com auf eine falsche Domain zeigte: Statt auf die Endung „.net“ verwies der fehlerhafte Eintrag auf die in Niger registrierte Domain „.ne“. Die korrekte Adresse hätte eigentlich auf einen DNS-Server des Content-Delivery-Netzwerks Akamai verweisen müssen.

Wie Golem berichtet, bestand der Fehler wohl schon seit dem 30. Juni 2020 und wurde erst jetzt, genauer gesagt am 14. Januar 2025, korrigiert. Um einer möglichen Ausnutzung durch schädliche Akteur:innen vorzubeugen, registrierte Caturegli die fehlerhafte Domain akam.ne für 300 US-Dollar und richtete dort einen DNS-Server ein. Täglich erhielt er Hunderttausende von DNS-Anfragen. Laut einem Bericht des Cybersicherheitsreporters Brian Krebs hätte Caturegli mit der Domain wahrscheinlich E-Mails und zahlreiche andere potenziell sensible Informationen abfangen können.

Während Caturegli betonte, der fehlerhafte DNS-Eintrag stelle ein erhebliches Risiko dar, erklärte ein Sprecher von Mastercard, es habe „kein Risiko“ für die Systeme des Unternehmens bestanden. Caturegli sieht das anders: Aufgrund der Konfiguration der DNS-Server von Mastercard hätte er theoretisch rund ein Fünftel des über die Subdomain az.mastercard.com abgewickelten Datenverkehrs abfangen können. Er vermutet, dass dieser Anteil durch das Caching öffentlicher DNS-Resolver von Anbietern wie Google oder Cloudflare noch hätte gesteigert werden können.

Und die Kritik des Seralys-Gründers geht noch weiter: In einem Linkedin-Kommentar kritisiert er, dass Mastercard seinen ersten Bericht ignoriert habe und erst aktiv geworden sei, nachdem Brian Krebs den Vorfall öffentlich gemacht habe. Zudem habe das Unternehmen nicht angeboten, die Kosten für die Registrierung der Domain akam.ne zu erstatten. Darüber hinaus habe es laut Krebs’ Bericht Versuche gegeben, Catureglis Linkedin-Beitrag über die Sicherheitsplattform Bugcrowd löschen zu lassen. Mastercard argumentierte, der Beitrag sei nicht mit den Prinzipien verantwortungsvoller Offenlegung vereinbar.

Interessanterweise zeigte sich, dass die Sicherheitslücke nicht nur Mastercard betraf. Caturegli registrierte auf seinem DNS-Server auch Anfragen von anderen Organisationen, denen der gleiche Tippfehler unterlaufen war. Zudem ergaben Nachforschungen, dass die fehlerhafte Domain akam.ne bereits im Dezember 2016 von einer Person aus Moskau registriert und mit einem Server in Deutschland verknüpft worden war. Im Jahr 2018 wurde die Domain wieder gelöscht – doch die Frage, ob über diese Schwachstelle bereits in der Vergangenheit Daten abgegriffen werden konnten, bleibt.

Mastercard ist einer der weltweit größten Anbieter von Zahlungstechnologien – auch in Deutschland nutzen Millionen Menschen die Dienste des Unternehmens. Der jetzt bekannt gewordene Vorfall wirft kein gutes Licht auf den Umgang von Mastercard mit sensiblen Informationen – und zeigt einmal mehr, wie gravierend selbst scheinbar banale Tippfehler in der IT-Infrastruktur sein können. DNS-Fehler wie der im Falle Mastercards können es Angreifer:innen ermöglichen, sensible Daten abzufangen oder umzuleiten.