MAGO OSINT — mastercard.com

Alvo

mastercard.com

IP Principal

216.119.218.99

ASN

AS26380

Localização

O'Fallon, Missouri

Data

2026-03-18

Modo

100% Passivo

1,894

Subdomínios CT Log

Findings Alta Criticidade

22+

Prefixos BGP Anunciados

mastercard.com é operada pela MasterCard Technologies LLC, proprietária do ASN AS26380 e blocos IP próprios — infraestrutura de internet de nível corporativo autônomo. A superfície de ataque mapeada é extensa: 1.894 nomes únicos no CT log, dezenas de subdomínios internos expostos (OWA externo, Lync, ambientes de teste/staging), e um ecossistema de 20+ integrações SaaS. A postura de segurança é sólida na camada de transporte (HSTS preload, DMARC reject) mas a amplitude da superfície e a presença de ambientes não-produtivos públicos eleva o risco residual.

FINDINGS

Criticidade Consolidada

#	Criticidade	Finding	Recomendação
1	ALTA	DNSSEC não configurado em domínio financeiro global	Implementar DNSSEC — crítico para infraestrutura financeira
2	ALTA	OWA externo expostos publicamente (STL, BRU, KSC, SGP)	Restringir por IP/VPN; avaliar necessidade
3	ALTA	origin-www.mastercard.com no certificado SAN — bypass de WAF	Usar certificado separado; remover exposição de origem
4	ALTA	Domínio expira 2026-07-26 — janela de 4 meses	Renovação antecipada; monitorar processo
5	MEDIA	Ambientes dev/stage/MTF públicos via DNS	Remover do DNS público ou subdomínio interno
6	MEDIA	TLS 1.3 não suportado (apenas TLS 1.2)	Habilitar TLS 1.3 no F5 BIG-IP (v15+)
7	MEDIA	RSA 2048-bit (abaixo de 4096 recomendado)	Migrar para RSA 4096 ou ECDSA P-384
8	MEDIA	SPF ~all (softfail) — spoofing parcialmente possível	Migrar para -all (hardfail)
9	MEDIA	20+ integrações SaaS (superfície de supply chain)	Auditar permissões de cada fornecedor
10	INFO	Sem IPv6 no apex domain	Implementar AAAA records

DNS & Resolução

Registros A / AAAA

mastercard.com  A  216.119.218.99
// Nenhum registro AAAA (IPv6 ausente)
        

Name Servers (Akamai)

a1-29.akam.net
a7-67.akam.net
a9-64.akam.net
a18-64.akam.net
a22-65.akam.net
a26-66.akam.net
        

MX — Email Infrastructure

mxa-00078002.gslb.pphosted.com  // Proofpoint
mxb-00078002.gslb.pphosted.com  // Proofpoint (redundância)
      

SPF Record

v=spf1 include:spf.protection.outlook.com
       include:deliverygateways.mastercard.com
       include:external.mastercard.com
       include:external2.mastercard.com
       include:deliverygateways2.mastercard.com
       ~all  // softfail — deveria ser -all
      

Integrações SaaS (via TXT Records)

Microsoft 365 Google Workspace Atlassian/Jira MongoDB Atlas Slack Salesforce Pardot Adobe IDP OneTrust Dynatrace Postman Smartsheet OpenAI Facebook Docker Zoom Airtable Mixpanel GlobalSign Infoblox Apple Bitwarden

Geolocalização & IP

{
  "query":      "216.119.218.99",
  "country":    "United States",
  "regionName": "Missouri",
  "city":       "O'Fallon",
  "lat":        38.7467,
  "lon":        -90.7461,
  "isp":        "MasterCard Technologies LLC",
  "as":         "AS26380 MasterCard Technologies LLC",
  "proxy":      false,
  "hosting":    false
}
    

Resolução de Subdomínios

Subdomínio	IP	Infra
mastercard.com	216.119.218.99	Origem (O'Fallon MO)
www.mastercard.com	184.85.142.102	Akamai CDN
api.mastercard.com	23.38.159.243	Akamai CDN
developer.mastercard.com	216.119.218.195	Origem própria
stage.mastercard.com	23.2.188.175	Akamai CDN
mtf.mastercard.com	23.205.231.156	Akamai CDN

BGP & Roteamento

AS26380 — MasterCard Technologies LLC

ASN:      26380
Org:      MasterCard Technologies LLC
Prefixo:  216.119.218.0/24
Bloco:    216.119.208.0 – 216.119.223.255 (/20 — 4.096 IPs)
Handle:   MASTERCARD (ARIN)
      

Prefixos Anunciados (22+)

119.214.0/24
119.218.0/24 ← investigado
96.137.0/24
99.61.0/24
175.204.0/24
175.205.0/24
175.206.0/24
199.61.0/24
149.107.0/24
55.148.0/24
55.149.0/24
30.210.0/24
30.213.0/24
30.214.0/24
115.128.0/24
115.130.0/23
22.152.0/24
22.153.0/24
141.71.0/24
3c00:6404::/47 (IPv6)
3c00:6414::/48 (IPv6)
        

BGP Peers (Top Upstreams)

ASN	Provider	Power
AS3257	GTT Communications	817
AS32787	Prolexic (Akamai DDoS)	549
AS4755	TATA Communications	539
AS19905	Neustar	406
AS7474	SingTel Optus	376
AS15830	Equinix (UK)	410
AS13335	Cloudflare Transit	283
AS1221	Telstra	180
AS3356	Lumen (Level 3)	262

Shodan InternetDB

Portas & Tecnologia

Portas:  80, 443
CPEs:
  cpe:/a:f5:big-ip_application_security_manager
  cpe:/a:f5:big-ip
Vulns:  nenhuma
Tags:   []
        

Hostnames Associados

arcusfi.com
mastercard.com
origin-www.mastercard.com ← origin leak
www.mastercard.com
www.priceassure.mastercard.com
mastercardaem.com
mastercardaemtest.com
pricelessspecials.nl
openfinance.mastercard.eu
mastercardlabs.ae
mastercardlabs.com.af
mastercardlabs.com.pk
        

WHOIS

Domain:      MASTERCARD.COM
Registry ID: 1936611_DOMAIN_COM-VRSN
Registrar:   CSC Corporate Domains, Inc. (IANA ID: 299)
Created:     1994-07-27 (31 anos)
Updated:     2026-01-27
Expiry:      2026-07-26 ← 4 meses!
DNSSEC:      unsigned ← GAP

EPP Status:
  clientTransferProhibited
  serverDeleteProhibited
  serverTransferProhibited
  serverUpdateProhibited
  // 4 locks — proteção máxima contra hijacking
    

Certificate Transparency — 1,894 Nomes

Certificado TLS do Apex

Subject:  CN=www.mastercard.com, O=MasterCard International Incorporated
Issuer:   DigiCert Global G2 TLS RSA SHA256 2020 CA1
Valid:    2025-05-20 → 2026-05-19
Key:      RSA 2048-bit // abaixo de 4096 recomendado
SANs:     www.mastercard.com, mastercard.com, origin-www.mastercard.com
SHA-256:  78:6C:27:D0:42:0F:F9:BE:E3:F4:79:42:01:6B:45:94:1F:99:F7:D0...
      

Infraestrutura Interna Exposta

// OWA Externo — 4 Data Centers
STL3OWA-EXT.mastercard.com  ← St. Louis
BRU3OWA-EXT.mastercard.com  ← Brussels
KSC3OWA-EXT.mastercard.com  ← Kansas City
SGP3OWA-EXT.mastercard.com  ← Singapore

// DC Managers
MCCDCMGR.mastercard.com
MCCDMMGR.mastercard.com
MCCDPMGR.mastercard.com

// Lync / Skype for Business
LYNCDISCOVER.mastercard.com
DIALIN.mastercard.com
MEET.mastercard.com
        

Ambientes Dev/Stage/QA

mtf.mastercard.com
dev.dxp.mastercard.com
dev.digital-assets.mastercard.com
stage1.dxp.mastercard.com
stage2.businessrewards.anz.com.mastercard.com

// QA Gateway environments (1-6)
*.qa01.gateway.mastercard.com
*.qa02.gateway.mastercard.com
*.qa03.gateway.mastercard.com
*.qa04.gateway.mastercard.com
*.qa05.gateway.mastercard.com
*.qa06.gateway.mastercard.com
*.perf.gateway.mastercard.com
*.demo.labs.mastercard.com
        

Produtos & Serviços Identificados

checkout (Click to Pay) api (API pública) developer portal cyberark (PAM) academy communitypass (digital ID) openfinance.eu openbankingeu idservice cashpassport priceassure donate-widget partneradvantage 3ds2.directory amlnet (AML)

Parceiros Bancários Integrados

Subdomínio	Parceiro	País
adcb.gateway	Abu Dhabi Commercial Bank	UAE
alior.pclo	Alior Bank	Polônia
citiproxy	Citibank	Global
amex-client-auth.src	American Express	Global
baml.sdg2	Bank of America Merrill Lynch	EUA
caas-privatbank	PrivatBank	Ucrânia

Threat Intelligence

OTX AlienVault

Akamai Popular Domain (#5940) Whitelisted (Majestic) Whitelisted (whitelist)

10 pulsos associados — nenhum indica comprometimento direto. Status: LIMPO

abuse.ch / URLScan

ThreatFox:  sem IOCs
URLhaus:   limpo
URLScan:   6.082 scans, 0 maliciosos
Shodan:    0 CVEs
        

HTTP Headers & TLS

Security Headers

Header	Status	Valor
HSTS	PRESENTE	max-age=31536000; includeSubDomains; preload
Server	DISCLOSE	AkamaiGHost
X-Frame-Options	AUSENTE	—
CSP	AUSENTE	—
X-Content-Type	AUSENTE	—

TLS Configuration

Protocol:   TLSv1.2 // TLS 1.3 bloqueado
Cipher:     ECDHE-RSA-AES256-GCM-SHA384
Key:        RSA 2048-bit
PFS:        sim (ECDHE)
Chain:      OK (DigiCert)

// Suporte por versão
TLS 1.0:  Bloqueado
TLS 1.1:  Bloqueado
TLS 1.2:  ATIVO
TLS 1.3:  Bloqueado ← gap
        

F5 BIG-IP Fingerprint

// Cookies de load balancer identificados no response
LB1=!baHCdNdjmtliNr/CEzUHWt...  ← F5 BIG-IP LB cookie
TS0143db32=019243af6f0bd44f...  ← F5 BIG-IP Traffic Mgmt session
      

Email Security (SPF / DKIM / DMARC)

DMARC — Política Máxima

v=DMARC1; p=reject; fo=1;
rua=mailto:dmarc_agg@auth.returnpath.net;
ruf=mailto:dmarc_afrf@auth.returnpath.net
      

p=reject — melhor configuração possível. Emails que falham SPF+DKIM são rejeitados. Phishing via @mastercard.com efetivamente bloqueado.

ATTACK SURFACE

Mapa de Superfície de Ataque

Vetores identificados: ├── Web │ ├── origin-www.mastercard.com (bypass WAF via IP direto) │ ├── Ambientes dev/stage/MTF (superfície de teste) │ └── 6.082 URLs indexadas no URLScan ├── Email │ ├── SPF ~all (spoofing parcialmente possível) │ └── DKIM seletores não documentados ├── DNS │ ├── DNSSEC ausente (cache poisoning) │ └── 1.894 subdomínios expostos via CT ├── Infraestrutura │ ├── OWA externos (4 regiões: STL, BRU, KSC, SGP) │ ├── Convenção de nomes de DC exposta │ └── Convenção de nomenclatura de rede (MCCD*) ├── Supply Chain │ └── 20+ fornecedores SaaS com acesso ao domínio └── Parceiros └── PrivatBank (UA), Alior (PL), ADCB (AE), AmEx, Citi, BAML

POSTURE

Postura de Segurança

Pontos Fortes

ASN próprio + blocos IP autônomos
F5 BIG-IP ASM (WAF enterprise) na origem
Akamai CDN + Prolexic DDoS na borda
DMARC p=reject — proteção máxima email
HSTS preload com includeSubDomains
Proofpoint como MX gateway
Zero CVEs no Shodan
Forward Secrecy (ECDHE)
CSC Corporate Domains + 4 EPP locks

Gaps Identificados

DNSSEC ausente em domínio financeiro global
OWA externo em 4 data centers
Origin leak via SAN do certificado
Domínio expira em 4 meses
Ambientes dev/stage/MTF públicos
TLS 1.3 não suportado
RSA 2048-bit
SPF ~all (softfail)
20+ integrações SaaS

SOURCES

Fontes & Métodos

Dado	Fonte	Método
DNS Records	Resolução direta	dig A/AAAA/MX/NS/TXT/SOA
Geo IP	ip-api.com	HTTP GET (45 req/min)
Portas/Vulns	Shodan InternetDB	HTTP GET (ilimitado)
BGP/ASN	RIPE Stat + ARIN RDAP	HTTP GET
WHOIS	VeriSign / CSC	whois protocol
CT Logs	crt.sh	HTTP GET (ilimitado)
Threat Intel	OTX AlienVault	HTTP GET
URL History	URLScan.io	HTTP GET
IOCs	ThreatFox (abuse.ch)	HTTP POST
HTTP Headers	Direto	curl -sI
TLS/SSL	Direto	openssl s_client