Je ruimt je kantoor op, je archiveert oude projecten en je verwijdert overbodige bestanden. Maar heb je ook je DNS-instellingen gecontroleerd? In de digitale wereld blijven er vaak "geest-records" achter: de zogenaamde Dangling DNS-records.

Bij Mediawax zien we dat dit een van de meest onderschatte beveiligingsrisico's is voor moderne organisaties. In deze blog leggen we uit wat het is en hoe je voorkomt dat hackers jouw domeinnaam overnemen.

Wat is een Dangling DNS-record?

DNS (Domain Name System) fungeert als het telefoonboek van het internet. Een DNS-record vertelt het internet: "Als je naar subdomein.jouwbedrijf.be gaat, moet je naar deze server of cloudservice gaan."

Een record wordt 'dangling' (bungelend) wanneer het verwijst naar een bron die niet meer bestaat.

Voorbeeld: Je hebt een tijdelijke campagne-website opgezet op een platform als Azure, Heroku of Zendesk. Na de campagne verwijder je de website bij de provider, maar je vergeet de verwijzing (het CNAME-record) in je DNS-instellingen te verwijderen.

Waarom is dit gevaarlijk? (Subdomain Takeover)

Dit is waar het gevaarlijk wordt. Omdat jouw DNS nog steeds zegt dat het subdomein naar die specifieke externe service moet wijzen, kan een hacker diezelfde service gebruiken om de plek die jij hebt achtergelaten te "claimen".

Dit proces heet een Subdomain Takeover. De hacker krijgt hiermee volledige controle over jouw subdomein, met alle gevolgen van dien:

Phishing op hoog niveau: Een hacker kan een nep-inlogpagina maken op portaal.jouwbedrijf.be. Omdat het een officieel subdomein is, ziet het er voor klanten en medewerkers 100% betrouwbaar uit.
Omzeilen van beveiliging: Veel cookies en beveiligingsinstellingen (zoals Content Security Policies) vertrouwen blindelings op subdomeinen van je eigen merk. Een hacker kan dit misbruiken om data te stelen.
Reputatieschade: Je officiële domein kan gebruikt worden om illegale content te hosten of spam te versturen, waardoor je op zwarte lijsten terechtkomt.

Hoe voorkom je bungelende records?

Beveiliging is een proces van constante monitoring. Hier zijn drie stappen om je organisatie te beschermen:

Schoonmaak-protocol: Maak het verwijderen van DNS-records een vast onderdeel van het "offboarden" van een project of service. Stop je met een tool? Verwijder direct het bijbehorende record.
Regelmatige audits: Scan je DNS-zone regelmatig op records die naar externe cloudproviders verwijzen en controleer of die services nog actief zijn.
Gebruik van 'Alias' records: Gebruik waar mogelijk specifieke records die nauwer verbonden zijn met de status van de bron, hoewel dit technisch niet altijd mogelijk is bij elke provider.

De rol van Mediawax

Het beheren van een complexe DNS-omgeving kan overweldigend zijn. Bij Mediawax helpen we organisaties om hun digitale voetafdruk schoon en veilig te houden. Wij voeren periodieke controles uit en zorgen dat er geen "achterdeurtjes" open blijven staan voor kwaadwillenden.

Conclusie

Een dangling DNS-record is een open uitnodiging aan hackers. Het lijkt een klein administratief detail, maar de impact van een subdomain takeover kan enorm zijn. Wees proactief en houd je digitale administratie op orde.

Wil je weten of jouw DNS-omgeving veilig is?