Més d’un milió de clients d’allotjament de GoDaddy van patir una violació de dades el setembre de 2021 que va passar desapercebuda durant dos mesos. GoDaddy va descriure l’esdeveniment de seguretat com una vulnerabilitat. Els investigadors de seguretat indiquen que la causa de la vulnerabilitat es va deure a una seguretat inadequada que no complia les millors pràctiques del sector.
La declaració de GoDaddy va anunciar que han canviat les contrasenyes dels clients afectats del seu allotjament gestionat de WordPress.
Tanmateix, el simple canvi de contrasenyes no soluciona completament els possibles problemes deixats pels pirates informàtics, la qual cosa significa que fins a 1,2 milions de clients d’allotjament de GoDaddy poden quedar afectats per problemes de seguretat.
GoDaddy informa SEC de la violació
El 22 de novembre de 2021, GoDaddy va informar a la Comissió de Seguretat i Intercanvi dels Estats Units (SEC) que havien descobert “accés de tercers no autoritzat” al seu “entorn d’allotjament de WordPress gestionat”.
Anunci
Continueu llegint a continuació
La investigació de GoDaddy va revelar que la intrusió va començar el 6 de setembre de 2021 i només es va descobrir el 17 de novembre, dos mesos després.
A qui afecta i com
La declaració de GoDaddy diu que fins a 1,2 milions de clients del seu entorn d’allotjament gestionat per WordPress poden veure’s afectats per la bretxa de seguretat.
Segons la declaració a la SEC, la violació de dades es va deure a una contrasenya compromesa al seu sistema de subministrament.
Un sistema de provisió és el procés per configurar els clients amb els seus nous serveis d’allotjament, assignant-los espai de servidor, noms d’usuari i contrasenyes.
GoDaddy va explicar què va passar:
“Fent servir una contrasenya compromesa, un tercer no autoritzat va accedir al sistema de subministrament de la nostra base de codi heretat per a WordPress gestionat”.
Anunci
Continueu llegint a continuació
Dades del client de GoDaddy que s’han exposat:
- Adreces de correu electrònic
- Números de clients
- Contrasenyes originals de nivell d’administrador de WordPress
- Noms d’usuari i contrasenyes de FTP segur (SFTP).
- Noms d’usuari i contrasenyes de la base de dades
- Claus privades SSL
Què va causar la violació de seguretat de GoDaddy
GoDaddy va descriure la causa de la intrusió com una vulnerabilitat. En general, es considera una vulnerabilitat com una debilitat o defecte en la codificació del programari, però també pot sorgir d’un lapse de bones mesures de seguretat.
Els investigadors de seguretat de Wordfence van descobrir que l’allotjament de WordPress gestionat de GoDaddy emmagatzemava noms d’usuari i contrasenyes sFTP d’una manera que no s’ajustava a les millors pràctiques de la indústria.
SFTP són les sigles de Secure File Transfer Protocol. És un protocol de transferència de fitxers que permet a algú carregar i descarregar fitxers des d’un servidor d’allotjament mitjançant una connexió segura.
Segons els experts en seguretat de Wordfence, els noms d’usuari i les contrasenyes es van emmagatzemar de manera de text sense xifrar, cosa que va permetre a un pirata informàtic recollir lliurement noms d’usuari i contrasenyes.
Wordfence va explicar la fallada de seguretat que van descobrir:
“GoDaddy va emmagatzemar les contrasenyes sFTP de manera que es poguessin recuperar les versions de text sense format de les contrasenyes, en lloc d’emmagatzemar hash d’aquestes contrasenyes o proporcionar autenticació de clau pública, que són totes dues pràctiques recomanades de la indústria.
… Emmagatzemar contrasenyes de text sense format, o contrasenyes en un format reversible per al que és essencialment una connexió SSH no és una bona pràctica.
Anunci
Continueu llegint a continuació
Els problemes de seguretat de GoDaddy encara poden estar en curs
La declaració de GoDaddy a la SEC va afirmar que l’exposició dels correus electrònics dels clients podria provocar atacs de pesca. També van comunicar que es van restablir totes les contrasenyes per als clients afectats, cosa que sembla tancar la porta a la bretxa de seguretat, però no és del tot així.
Tanmateix, havien transcorregut més de dos mesos sencers quan GoDaddy va descobrir la fallada de seguretat i la intrusió, cosa que significa que els llocs web allotjats a GoDaddy encara podrien estar en un estat compromès si no s’han eliminat els fitxers maliciosos.
No n’hi ha prou amb canviar les contrasenyes dels llocs web afectats, s’hauria d’haver realitzat una exploració de seguretat exhaustiva per assegurar-se que els llocs web afectats estan lliures de portes posteriors, troians i fitxers maliciosos.
Anunci
Continueu llegint a continuació
La declaració oficial de GoDaddy no ha dit res sobre la mitigació dels efectes dels llocs web ja compromesos.
Els investigadors de seguretat de Wordfence van reconèixer aquesta mancança:
“…l’atacant va tenir gairebé un mes i mig d’accés durant el qual podria haver-se fet càrrec d’aquests llocs carregant programari maliciós o afegint un usuari administratiu maliciós. Fer-ho permetria a l’atacant mantenir la persistència i mantenir el control dels llocs fins i tot després de canviar les contrasenyes.
Wordfence també afirma que el dany no es limita a les empreses allotjades a l’allotjament gestionat de WordPress. Els investigadors de seguretat van observar que l’accés dels pirates informàtics a les bases de dades del lloc web podria conduir a l’accés a la informació del client del lloc web, revelant informació sensible del client emmagatzemada als llocs web de comerç electrònic.
Anunci
Continueu llegint a continuació
Els efectes de la violació de dades de GoDaddy poden continuar
GoDaddy només va anunciar que han restablert les contrasenyes. No obstant això, no es va dir res sobre la identificació i la correcció de bases de dades compromeses, l’eliminació de comptes d’administrador canalla i la cerca d’scripts maliciosos que s’han penjat, per no parlar de possibles incompliments de dades d’informació sensible dels clients dels llocs de comerç electrònic allotjats a GoDaddy.
Citació
GoDaddy anuncia un incident de seguretat que afecta el servei gestionat de WordPress
Llegeix l’informe de seguretat de Wordfence
GoDaddy violat – Contrasenyes de text sense format – 1,2 M afectat
