超过 100 万 GoDaddy 客户陷入数据泄露
域名注册商和托管公司 GoDaddy 确认了新的数据泄露。这不是该公司第一次遭遇安全漏洞。在最新一期中,至少有 120 万客户受到影响。
该披露是在提交给美国证券交易委员会的一份文件中披露的,作为 GoDaddy 作为公开交易实体的义务的一部分。该文件将攻击归咎于“未经授权的第三方”。最初的漏洞于 9 月 6 日生效,无论背后的威胁行为者设法保持不间断的访问,并在两个多月的时间里一直处于监视之下。这个问题终于在 11 月中旬发现了。
攻击者已经破坏了 GoDaddy 的托管 WordPress 托管环境。从本质上讲,这项服务允许 GoDaddy 客户在 GoDaddy 托管的环境中使用 WordPress 平台,而无需客户更新和维护平台的内部结构。
攻击者使用“泄露密码”来访问 GoDaddy 的服务器。
在数据泄露中访问了不同客户的不同类型的数据。这包括 120 万封电子邮件和当前和非活动客户帐户的客户编号、sFTP 和 DB 用户名和密码组合(在提交申请时 GoDaddy 已重置密码)、部分当前活动客户的 SSL 证书私钥.
安全专家概述了威胁行为者可能会利用被盗数据实施哪些潜在恶意行为的一些场景,但没有一个是特别漂亮的。这些场景包括劫持域并将其赎回给其合法所有者,将页面访问者重定向到模仿合法页面的页面,然后抓取在欺骗页面上输入的任何信息。
AppViewX 的一位首席安全研究员将一些可能的丑陋场景称为“灭绝级事件”。
在报告这个问题时,ThreatPost 概述了 GoDaddy 仅在 2020 年就遭遇的另外三起安全事件。