El desarrollador Roland Meertens descubrió que su dominio immersivepoints.com fue utilizado sin autorización para albergar sitios web desconocidos en GitHub Pages. Mientras viajaba por África sin conexión a internet, recibió notificaciones de Google Search Console sobre cambios en la propiedad del subdominio kafka.immersivepoints.com, el cual él nunca había configurado. La investigación reveló que cualquier usuario puede crear un subdominio de un dominio ajeno en GitHub Pages si el DNS está configurado con un comodín (wildcard), sin que el propietario original lo sepa. Meertens sospecha que el subdominio pudo haber sido usado para estafas de casinos en línea, aunque no tiene constancia de ello. El desarrollador reportó el incidente a GitHub y solicita que se implementen verificación obligatoria de propiedad de dominio antes de permitir alojar páginas, o al menos mostrar advertencias cuando el DNS no esté correctamente configurado. Esta vulnerabilidad no es nueva y ya existen herramientas para detectar dominios disponibles para 'secuestro'.
Desarrollador descubre que su dominio fue usado sin autorización en GitHub Pages
