hannoDec 10
German ministry renames itself, domain expires, is bought by SEO-spammer, expires again, is bought by domain grabber, then later bought by itsec company who now learns that apparently plenty of internal systems of the ministry still try to connect to the domain...
I don't even know where to start how terrible that is and what it tells us about government IT security practices...
https://mint-secure.de/bundesdomain-im-blindflug-dns-leaks-und-ein-jahrzehnt-it-nachlaessigkeit/
@TimPhSchaefers good work!
Bundesdomain im Blindflug: DNS-Leaks und ein Jahrzehnt IT-Nachlässigkeit

Der Artikel zeigt, wie die vergessene Bundesdomain bafl.de weiterhin von Behörden-Systemen genutzt wird und DNS-Logs ausgewertet wurden.

Mint Secure
Show threadhannoDec 10
I do wonder whether @TimPhSchaefers plans to transfer the domain back to them or keep it. I guess the latter would be safer for them.
Otherwise we may have an update to that story again in 10 years that they lost it again or something...
Show threadTim

@hanno Haha - I had the same case with them a few month ago - now again:
https://netzpolitik.org/2025/bamf-wenn-max-mustermann-zum-sicherheitsproblem-wird/

https://einteilvonjenerkraft.medium.com/veraltete-nutzerkonten-erm%C3%B6glichten-unautorisierten-zugriff-auf-bamf-daten-b040c487562e

I offered them the domain - but still have it ... seems to be a structural problem.

BAMF: Wenn Max Mustermann zum Sicherheitsproblem wird

Durch einen ungenutzten E-Mail-Account verschaffte sich ein Sicherheitsforscher mit wenigen Klicks Administratorenrechte. Dieser Vorfall bei einem IT-System des BAMF zeigt, wie wichtig eine sorgfältige Benutzerverwaltung ist und wo die Behörde nachbessern muss.

netzpolitik.org
Dec 10 at 12:22pmWeb