Oltre un milione di clienti GoDaddy coinvolti nella violazione dei dati
Il registrar di domini e la società di hosting GoDaddy hanno confermato una nuova violazione dei dati. Non è la prima volta che l'azienda subisce una violazione della sicurezza. In quest'ultimo, sono stati colpiti almeno 1,2 milioni di clienti.
La divulgazione è stata effettuata in un documento depositato presso la US Securities and Exchange Commission come parte degli obblighi di GoDaddy come entità quotata in borsa. Il deposito ha attribuito l'attacco a un "terzo non autorizzato". La violazione iniziale è stata effettuata il 6 settembre e qualsiasi attore di minacce fosse dietro è riuscito a mantenere un accesso ininterrotto e a rimanere sotto il radar per più di due mesi. Il problema è stato finalmente individuato a metà novembre.
Gli autori delle minacce avevano compromesso l'ambiente di hosting WordPress gestito di GoDaddy. In sostanza, questo servizio consente ai clienti GoDaddy di utilizzare la piattaforma WordPress in un ambiente ospitato da GoDaddy, senza la necessità per il cliente di aggiornare e mantenere le parti interne della piattaforma.
L'autore delle minacce ha utilizzato una "password compromessa" per accedere ai server di GoDaddy.
Durante la violazione dei dati è stato effettuato l'accesso a diversi tipi di dati per clienti diversi. Ciò include 1,2 milioni di e-mail e numeri cliente di account cliente correnti e inattivi, combinazioni di nomi utente e password sFTP e DB (con password già reimpostate da GoDaddy al momento della presentazione), chiavi private del certificato SSL per una parte dei clienti attualmente attivi .
Gli esperti di sicurezza hanno delineato alcuni scenari di quali potenziali azioni dannose gli attori delle minacce potrebbero essere in grado di realizzare con i dati rubati e nessuno di loro era particolarmente carino. Gli scenari andavano dal dirottamento dei domini e il loro riscatto ai legittimi proprietari, al reindirizzamento dei visitatori della pagina a pagine che imitano quelle legittime e quindi al raschiamento di qualsiasi informazione inserita nelle pagine contraffatte.
Un capo ricercatore di sicurezza con AppViewX ha definito alcuni dei possibili brutti scenari "eventi a livello di estinzione".
Riferendo sul problema, ThreatPost ha delineato una serie di altri tre incidenti di sicurezza che GoDaddy ha subito nel solo 2020.
