Ο γίγαντας φιλοξενίας ιστοσελίδων GoDaddy αποκάλυψε τη Δευτέρα μια παραβίαση δεδομένων που είχε ως αποτέλεσμα τη μη εξουσιοδοτημένη πρόσβαση σε δεδομένα που ανήκουν σε συνολικά 1,2 εκατομμύρια ενεργούς και ανενεργούς πελάτες, καθιστώντας το τρίτο περιστατικό ασφαλείας που έρχεται στο φως από το 2018.
Σε μια κατάθεση στην Επιτροπή Κεφαλαιαγοράς των ΗΠΑ (SEC), ο μεγαλύτερος καταχωρητής domain στον κόσμο είπε ότι ένα κακόβουλο τρίτο μέρος κατάφερε να αποκτήσει πρόσβαση στο περιβάλλον φιλοξενίας του Διαχειριζόμενου WordPress στις 6 Σεπτεμβρίου με τη βοήθεια ενός παραβιασμένου κωδικού πρόσβασης, χρησιμοποιώντας τον για λαμβάνει ευαίσθητες πληροφορίες που αφορούν τους πελάτες της. Δεν είναι άμεσα σαφές εάν ο παραβιασμένος κωδικός πρόσβασης ήταν ασφαλισμένος με έλεγχο ταυτότητας δύο παραγόντων.
Η GoDaddy αποκάλυψε ότι ανακάλυψε την διάρρηξη στις 17 Νοεμβρίου. Η έρευνα για το περιστατικό βρίσκεται σε εξέλιξη και η εταιρεία είπε ότι “επικοινωνεί απευθείας με όλους τους επηρεαζόμενους πελάτες με συγκεκριμένες λεπτομέρειες”. Οι ακόλουθες πληροφορίες πιστεύεται ότι έχουν πρόσβαση από τον εισβολέα:
- Διευθύνσεις email και αριθμοί πελατών έως και 1,2 εκατομμυρίων ενεργών και ανενεργών πελατών Διαχειριζόμενου WordPress
- Αποκαλύφθηκε ο αρχικός κωδικός πρόσβασης διαχειριστή WordPress που είχε οριστεί τη στιγμή της παροχής
- Ονόματα χρήστη sFTP και βάσης δεδομένων και κωδικοί πρόσβασης που σχετίζονται με τους ενεργούς πελάτες του
- Ιδιωτικά κλειδιά SSL για ένα υποσύνολο ενεργών πελατών
Η GoDaddy είπε ότι βρίσκεται στη διαδικασία έκδοσης και εγκατάστασης νέων πιστοποιητικών για τους επηρεαζόμενους πελάτες. Ως προληπτικό μέτρο, η εταιρεία δήλωσε επίσης ότι έχει επαναφέρει τους κωδικούς πρόσβασης που επηρεάζονται και ενισχύει το σύστημα παροχής με πρόσθετες προστασίες ασφαλείας.
Σύμφωνα με τον Διευθύνοντα Σύμβουλο του Wordfence, Mark Maunder, “Το GoDaddy αποθήκευσε τους κωδικούς πρόσβασης sFTP με τέτοιο τρόπο ώστε να μπορούν να ανακτηθούν οι εκδόσεις απλού κειμένου των κωδικών πρόσβασης, αντί να αποθηκεύει salted hashes αυτών των κωδικών πρόσβασης ή να παρέχει έλεγχο ταυτότητας δημόσιου κλειδιού, που είναι και οι δύο βέλτιστες πρακτικές του κλάδου.”
Αν και οι παραβιάσεις δεδομένων δεν αποτελούν πλέον σποραδικό περιστατικό, η έκθεση διευθύνσεων email και κωδικών πρόσβασης ενέχει κίνδυνο επιθέσεων phishing, για να μην αναφέρουμε ότι επιτρέπει στους εισβολείς να παραβιάσουν τους ευάλωτους ιστότοπους του WordPress για να ανεβάσουν κακόβουλο λογισμικό και να αποκτήσουν πρόσβαση σε άλλες προσωπικές πληροφορίες που είναι αποθηκευμένες σε αυτούς.
“Σε τοποθεσίες όπου εκτέθηκε το ιδιωτικό κλειδί SSL, θα μπορούσε να είναι δυνατό για έναν εισβολέα να αποκρυπτογραφήσει την κυκλοφορία χρησιμοποιώντας το κλεμμένο ιδιωτικό κλειδί SSL, υπό την προϋπόθεση ότι θα μπορούσε να εκτελέσει με επιτυχία μια επίθεση man-in-the-middle (MITM) που παρεμποδίζει την κρυπτογραφημένη κίνηση μεταξύ ένας επισκέπτης του ιστότοπου και ένας ιστότοπος που επηρεάζεται», είπε ο Maunder.
Ενημέρωση
Μια παραβίαση δεδομένων στην εταιρεία φιλοξενίας ιστοσελίδων GoDaddy μπορεί να είναι πιο βαθιά από ό,τι έχει προετοιμαστεί μέχρι στιγμής να παραδεχτεί η εταιρεία, καθώς πολλές θυγατρικές των υπηρεσιών Managed WordPress της εταιρείας, συμπεριλαμβανομένων των 123Reg, Domain Factory, Heart Internet, Host Europe, Media Temple και tsoHost, έχουν βρέθηκε επηρεασμένος.
Η GoDaddy είπε στο Wordfence ότι «επηρεάστηκε ένας μικρός αριθμός ενεργών και ανενεργών χρηστών Διαχειριζόμενου WordPress σε αυτές τις επωνυμίες», αν και δεν είναι σαφές ακριβώς πόσοι επιπλέον χρήστες ενδέχεται να είχαν εκτεθεί τα ευαίσθητα στοιχεία τους μετά το περιστατικό ασφαλείας.
