В сообщении Комиссии по ценным бумагам и биржам США (SEC), которое было опубликовано сегодня , GoDaddy объявила о нарушении безопасности данных, затрагивающем клиентов управляемого хостинга WordPress. Компания обнаружила несанкционированный доступ третьих лиц к своей среде хостинга 17 ноября 2021 года через эксплуатируемую уязвимость.
Первоначальные расследования GoDaddy показывают, что злоумышленник получил доступ с использованием скомпрометированного пароля начиная с 6 сентября 2021 года. Были скомпрометированы почти все конфиденциальные данные, связанные с размещением веб-сайта WordPress, включая адреса электронной почты клиентов, пароли администраторов, sFTP и учетные данные базы данных, а также закрытые ключи SSL. . GoDaddy опубликовал следующую сводку данных, к которым злоумышленник имел доступ более двух месяцев:
- До 1,2 миллиона активных и неактивных клиентов Managed WordPress получили доступ к своим адресам электронной почты и номерам клиентов. Раскрытие адресов электронной почты представляет собой риск фишинговых атак.
- Был открыт исходный пароль администратора WordPress, который был установлен во время подготовки. Если эти учетные данные все еще использовались, мы сбрасываем эти пароли.
- Для активных клиентов были открыты sFTP и имена пользователей и пароли баз данных. Сбрасываем оба пароля.
- Для части активных клиентов был открыт закрытый ключ SSL. Мы занимаемся выпуском и установкой новых сертификатов для этих клиентов.
У GoDaddy более 20 миллионов клиентов, но это нарушение затронуло только управляемые учетные записи хостинга WordPress. Более подробно рассмотрев инцидент, Wordfence утверждает, что GoDaddy хранил учетные данные sFTP в виде открытого текста , хотя GoDaddy официально не подтвердил это:
GoDaddy хранил пароли sFTP таким образом, чтобы можно было получить версии паролей в открытом виде, вместо того, чтобы хранить соленые хэши этих паролей или обеспечивать аутентификацию с открытым ключом, что является передовым отраслевым опытом.
Мы подтвердили это, получив доступ к пользовательскому интерфейсу хостинга, управляемого GoDaddy, и смогли просмотреть наш собственный пароль…При использовании аутентификации с открытым ключом или соленых хэшей невозможно просмотреть свой собственный пароль таким образом, потому что у хостинг-провайдера его просто нет.
Акции GoDaddy упали после того, как основные новостные организации поддержали раскрытие информации SEC, опустившись на 5,25%. Компания разослала своим клиентам по электронной почте уведомление о том, что их учетные записи могли быть скомпрометированы в течение двух месяцев, когда злоумышленник имел несанкционированный доступ.
Инцидент подорвал доверие клиентов и поставил разработчиков и агентства в неудобное положение, если от них требуется уведомить своих клиентов о нарушении. Владельцы затронутых сайтов должны будут следить за вредоносным ПО, подозрительной активностью и потенциальными фишинговыми атаками.
Godaddy заявляет, что уже предпринял шаги для обеспечения большей безопасности своей системы обеспечения и продолжает расследование с помощью фирмы, занимающейся криминалистической ИТ-экспертизой, и правоохранительных органов.
