Ponad milion klientów GoDaddy przyłapanych na naruszeniu danych
Rejestrator domen i firma hostingowa GoDaddy potwierdziła nowe naruszenie danych. To nie pierwszy przypadek naruszenia bezpieczeństwa firmy. W tym najnowszym, co najmniej 1,2 miliona klientów zostało dotkniętych.
Ujawnienie zostało dokonane w dokumencie złożonym w amerykańskiej Komisji Papierów Wartościowych i Giełd w ramach zobowiązań GoDaddy jako podmiotu notowanego na giełdzie. Zgłoszenie przypisuje atak „nieuprawnionej osobie trzeciej”. Początkowe naruszenie miało miejsce 6 września i niezależnie od tego, kto za tym stoi, zdołał utrzymać nieprzerwany dostęp i pozostać poza zasięgiem radaru przez ponad dwa miesiące. Problem został ostatecznie dostrzeżony w połowie listopada.
Osoby zajmujące się zagrożeniami włamały się do środowiska hostingowego Managed WordPress firmy GoDaddy. Zasadniczo usługa ta umożliwia klientom GoDaddy korzystanie z platformy WordPress w środowisku hostowanym przez GoDaddy, bez konieczności aktualizowania i utrzymywania wewnętrznych elementów platformy przez klienta.
Aktor zagrożenia użył „skompromitowanego hasła”, aby uzyskać dostęp do serwerów GoDaddy.
W przypadku naruszenia danych uzyskano dostęp do różnych rodzajów danych dla różnych klientów. Obejmuje to 1,2 miliona e-maili i numerów klientów bieżących i nieaktywnych kont klientów, kombinacje nazw użytkownika i haseł sFTP i DB (hasła zostały już zresetowane przez GoDaddy w momencie składania wniosku), klucze prywatne certyfikatu SSL dla części aktualnie aktywnych klientów .
Eksperci ds. bezpieczeństwa przedstawili kilka scenariuszy potencjalnych szkodliwych działań, które mogą być w stanie wykonać cyberprzestępcy ze skradzionymi danymi i żaden z nich nie był szczególnie ładny. Scenariusze obejmowały przejmowanie domen i płacenie za nie okupu ich prawowitym właścicielom, przekierowywanie odwiedzających stronę na strony naśladujące legalne, a następnie skrobanie wszelkich informacji wprowadzonych na sfałszowanych stronach.
Główny badacz bezpieczeństwa z AppViewX nazwał niektóre z możliwych brzydkich scenariuszy „zdarzeniami na poziomie wyginięcia”.
Relacjonując ten problem, ThreatPost przedstawił serię trzech kolejnych incydentów związanych z bezpieczeństwem, których GoDaddy doświadczył tylko w 2020 roku.