一位網名叫“InfoSec Guy”的英國安全研究人員，近日披露了美屬薩摩亞域名注冊機構ASNIC竟然在使用一個過時的域名管理系統的消息。糟糕的是，該管理系統包含了一個bug，允許任何人查看任意.as域名擁有者的詳細私人信息。此外，研究人員還聲稱，任何知曉該bug的人，都可以編輯和刪除任意.as域名——只需篡改下ASNIC域名信息的URL。

　　研究人員在2天前的博客文章中寫到：

通過簡單的Base64編碼一個.as域名，然后將它附加到nic.as網站的網址中，就可以完整地查看域名記錄（包括未加密的域名持有者密碼、聯系方式、以及付款人等信息）。

一開始，ASNIC否認存在任何問題，但后來還是進行了證實，并披露該系統其實始于1990年代中期。至于明文密碼，其表示從未被用于對域名管理操作的用戶進行身份驗證。

這名安全研究人員最后收到的一封電子郵件寫到：“[base]64編碼已經被淘汰，我們將已進入通報流程”。

2個月后，似乎沒有客戶收到數據泄露的通知，于是研究人員嘗試再次聯系ASNIC，但該機構已不再給出回應。

在發現問題3個月后，研究人員正式公開了這一情況，希望.as的域名擁有人盡快自檢自查，其中不乏一些大牌客戶，比如Opera、Flickr、Twitter、麥當勞、英國天然氣、Bose、阿迪達斯、德州大學、以及許多短網址服務商。

最終，ASNIC于昨日發表了一則聲明，聲稱研究人員的報告“不準確、有誤導性、將危害放到了最大”。萬幸的是，有缺陷的域名注冊系統已經正式退休了。