本月初，KerbsOnSecurity 收到了一位研究人员的电子邮件，声称其通过简单的手段，就轻松拿到了 .GOV 域名。若这一漏洞被利用，或导致 .Gov 域名出现信任危机。其表示，自己通过填写线上表格，从美国一个只有 .us 域名的小镇主页上抓取了部分抬头信息，并在申请材料中冒名为当地官员，就成功地骗取了审核者的信任。

这位要求匿名的消息人士称：其使用了虚假的 Google 语音号码和虚假的 Gmail 地址，但这一切只是出于思想实验的目的，资料中唯一真实的，就是 *** 官员的名字。

据悉，这封邮件是从 exeterri.gov 域名发送来的。该域名于 11 月 14 日注册，网站内容与其模仿的 .us 站点相同（罗德岛州埃克塞特的 Town.exeter.ri.us 网站，现已失效）。

消息人士补充道：其必须填写正式的授权表单，但基本上只需列出管理员、技术人员和计费人员等信息。

此外，它需要打印在“官方信笺”上，但你只需搜索一份市 *** 的公文模板，即可轻松为伪造。

然后通过传真或邮件发送，审核通过后，即可注册机构发来的创建链接。

从技术上讲，这位消息人士已涉嫌邮件欺诈。若其使用了美国境内的服务，还可能遭到相应的指控。但是对于藏在暗处的 *** 犯罪分子来说，这个漏洞显然求之不得。

为了堵上流程漏洞，爆料人希望能够引入更加严格的 ID 认证。尽管他所做的实验并不合法，但事实表明确实很容易得逞。

今天早些时候，KrebsOnSecurity 与真正的埃克塞特官员取得了联系。某不愿透露姓名的工作人员称，GSA 曾在 11 月 24 日向市长办公室打过 *** 。

然而这通 *** 是在其向联邦机构提出询问的四天之后，距离仿冒域名通过审批更是已过去 10 天左右。

尽管没有直接回应，但该机构还是写到：“GSA 正在与当局合作，且已实施其它预防欺诈的控制措施”。至于具体有哪些附加错误，其并未详细说明。

不过 KrebsOnSecurity 确实得到了国土安全部下属 *** 安全与基础设施安全局的实质性回应，称其正在努力为 .gov 域名提供保护。

（稿源 cnBeta ,封面源自 *** 。）