Откуда левые поддомены у сайта госуслуг?

Question

[Loki3000]

Около года назад получил фишинговое письмо - куда-то там просили перейти по ссылке и что-то сделать. Привлекла внимание сама ссылка:

http://sv.link.subscribe.gosuslugi.ru/gosuslugi/4702,9T8T_oTW2icNtjGeI9....

То есть это реальный поддомен сайта госуслуг.

nslookup sv.link.subscribe.gosuslugi.ru

Non-authoritative answer:
sv.link.subscribe.gosuslugi.ru  canonical name = link.sendsay.ru.
Name:   link.sendsay.ru
Address: 81.9.46.246
Name:   link.sendsay.ru
Address: 185.76.234.246
Name:   link.sendsay.ru
Address: 81.9.34.246
Name:   link.sendsay.ru
Address: 185.76.232.246

При попытке доступа к этому домену происходит редирект на службу рассылок.
Написал тогда письмо в службу поддержки госуслуг, а год спустя снова наткнулся на свое обращение и понял, что ничего не поменялось: сайт, который используется для авторизации на всех других государственных сайтах, каким-то образом раздает поддомены непонятно кому.
Собственно вопросы такие: нормальная ли это ситуация, когда поддомены подобного сайта раздаются кому ни попадя? Может и напрасно паникую и это считается нормальным и безопасным? Кстати, у сайта госуслуг ssl сертификат вида *.gosuslugi.ru. Означает ли это что подобный поддомен может к нему примазаться?

Comments

[tkutru]

>>Кстати, у сайта госуслуг ssl сертификат вида *.gosuslugi.ru. Означает ли это что подобный поддомен может к нему примазаться?

Нет, домены более третьего уровня не прокатят для wildcard ssl сертификата вида *.gosuslugi.ru.

[Юрий Чудновский]

Вероятно это не было фишинговым письмом.

[Loki3000]

Юрий Чудновский: Теперь уже трудно вспомнить за давностью времени. В ссылке еще был запрятан третий адрес, при помощи base64. Не думаю что все это предназначается для благих целей.

Answer 1

[Владимир Дубровин]

Скорей всего, это не было фишинговым письмом, портал "госуслуги" воспользовался услугами компании, предоставляющей сервис рассылки писем (ESP).

Comments

[Loki3000]

Вот полный текст ссылки:
sv.link.subscribe.gosuslugi.ru/gosuslugi/4702,9T8T_oTW2icNtjGeI9B04o/250,3148852,4316187,?aHR0cDovL2FxLnFjcmFmdC5ydS92eg==
Если расшифровать последний параметр, то получаем ссылку aq.qcraft.ru/vz
Как по-вашему, это по прежнему напоминает официальную рассылку государственного портала?

[Владимир Дубровин]

Loki3000: значит использовалась уязвимость открытого перенаправления (open redirect) у sendsay чтобы замаскировать ссылку.
Но ответ на ваш вопрос все равно тот же - эти поддомены используются, чтобы управлять рассылками через внешнего поставщика услуг.

[Loki3000]

Владимир Дубровин: Вот это, кстати, вполне вероятный вариант. Правда, мне все равно остается непонятным - для чего внешней службе нужен свой поддомен на госуслугах?

[Владимир Дубровин]

Loki3000: Например, чтобы в письмах были ссылки на подписку/отписку, которыми управляет ESP или чтобы считать переходы по ссылкам из письма, что опять же умеет ESP.