GoDaddy, cel mai mare registrator de nume de domeniu din lume, avertizeaza clientii ca este posibil ca atacatorii sa fi obtinut acreditarile contului de gazduire web.
O „persoana neautorizata” a putut accesa detaliile de conectare ale utilizatorilor intr-o intruziune despre care compania a spus ca a avut loc in octombrie – compania a declarat pentru Threatpost ca problema a fost descoperita pe 23 aprilie.
Compania a spus ca incalcarea a afectat doar conturile de gazduire, nu si conturile generale ale clientilor GoDaddy.com si ca nu au fost accesate date despre clienti in conturile principale. Compania cu sediul in Scottsdale, Ariz, are peste 19 milioane de clienti in intreaga lume, dar doar 28.000 au fost afectati de atac.
Compania nu a confirmat cat timp atacatorul a avut acces la datele de acreditare. GoDaddy a oferit o declaratie pentru Threatpost:
“La 23 aprilie 2020, am identificat ca date de login SSH au fost compromise de o persoana neautorizata in mediul nostru de gazduire”, a declarat un purtator de cuvant pentru Threatpost. „Acest lucru a afectat aproximativ 28.000 de clienti. Resetam imediat aceste nume de utilizator si parole, eliminam un fisier SSH autorizat de pe platforma noastra si nu avem nicio indicatie despre faptul ca persoana respectiva a folosit datele de autentificare ale clientilor nostri sau a modificat orice cont de gazduire a clientilor. Individul nu a avut acces la principalele conturi GoDaddy ale clientilor. ”
Intre timp, „recent am identificat activitatea suspecta pe un subset de serverele noastre si am inceput imediat o ancheta”, a declarat compania intr-un aviz de incalcare a datelor depus la procurorul general din California, obtinut de mass-media. „Ancheta a constatat ca o persoana neautorizata a avut acces la informatiile dvs. de conectare folosite pentru a se conecta la SSH in contul de gazduire. Nu avem dovezi ca fisierele au fost adaugate sau modificate in contul dvs. Persoana neautorizata a fost blocata din sistemele noastre si continuam sa investigam impactul potential in mediul nostru. ”
SSH este de obicei utilizat pentru a va conecta la o masina de la distanta si pentru a executa comenzi, dar este de asemenea utilizat pentru a transfera fisiere folosind protocoalele de fisiere SSH asociate (SFTP) sau copiere sigura (SCP).
„GoDaddy indica faptul ca conturile clientilor au fost incalcate in octombrie 2019, cu toate acestea, se pare ca abia acum au detectat atacul si au notificat clientii”, a declarat Chris Clements, vicepresedinte de arhitectura de solutii la Cerberus Sentinel. „Daca acesta este cazul, inseamna ca atacatorul a avut controlul asupra conturilor de gazduire a clientilor GoDaddy pentru aproximativ sapte luni inainte de a fi descoperiti. GoDaddy a declarat clientilor afectati ca „nu avem nicio dovada ca vreun fisier a fost adaugat sau modificat pe contul dvs.”, cu toate acestea, este extrem de plauzibil ca un atacator sa aiba acces fara sa incerce nimic. GoDaddy ar trebui sa ofere mai multe informatii despre ancheta si dovezi pentru a sustine aceasta afirmatie, precum si sa explice de ce a fost nevoie de aproape jumatate de an pentru a detecta. ”
Compania a mai spus ca a lansat o ancheta „imediat” la descoperirea incalcarii, dar nu a spus modul in care a fost efectuat atacul. Threatpost a solicitat orice detalii tehnice cu privire la incident.
Ca raspuns la incident, GoDaddy a resetat parolele utilizatorilor afectate: „Am resetat in mod proactiv informatiile de conectare a contului dvs. de gazduire pentru a ajuta la prevenirea oricaror accesuri neautorizate potentiale… din abundenta, va recomandam sa efectuati un audit al contului dvs. de gazduire.“
Aceasta este doar cea mai recenta incalcare a datelor GoDaddy – in martie, un atacator folosit tactici de phishing pe un angajat pentru a avea acces la sistemul de asistenta intern al GoDaddy si a continuat sa schimbe cel putin cinci inregistrari de nume de domeniu ale clientilor.
“Este o practica teribila de securitate, dar nu este neobisnuit ca tehnicienii de asistenta sa introduca informatii sensibile, cum ar fi parolele contului in notele din sistemele lor de urmarire a biletelor”, a spus Clements. „Nu este greu sa ne imaginam ca, prin accesul la un sistem de asistenta intern, atacatorii ar fi putut exfiltra cat mai multe date ale sistemului de ticketing, pentru a le combate ulterior pentru alte cai de atac. Desi acest lucru nu a fost confirmat, ar explica cu usurinta sursa noilor atacuri. ”
De asemenea, GoDaddy a expus informatii de configurare la nivel inalt pentru zeci de mii de sisteme (si optiuni de preturi sensibile in mod competitiv pentru rularea acelor sisteme) in Amazon AWS inca din 2018, datorita inca o configuratie gresita de stocare in cloud.
