La última infracción de GoDaddy afecta a 1,2 millones de clientes - Calendae | Informática, Electrónica, CMS, Ciberseguridad

La última infracción de GoDaddy afecta a 1,2 millones de clientes

Hola otra vez. Te habla Eduardo Arroyo y en el día de hoy vamos a hablar sobre La última infracción de GoDaddy afecta a 1,2 millones de clientes

La última infracción de GoDaddy afecta a 1,2 millones de clientes

El capo del registrador de dominios registró su quinto incidente cibernético desde 2018 después de que un atacante con una contraseña comprometida robó direcciones de correo electrónico, claves SSH e inicios de sesión en la base de datos.

El gigante del alojamiento web GoDaddy ha confirmado otra violación de datos, que esta vez afectó al menos a 1,2 millones de sus clientes.

El lunes, el registrador de dominios más grande del mundo dijo en un documento público a la SEC que un «tercero no autorizado» logró infiltrarse en sus sistemas el 6 de septiembre, y que la persona o personas continuaron iniciando sesión durante casi dos meses y medio. antes de que GoDaddy notara la infracción el 17 de noviembre.

«Identificamos actividad sospechosa en nuestro entorno de alojamiento de WordPress administrado e inmediatamente iniciamos una investigación con la ayuda de una empresa de informática forense y contactamos a las fuerzas del orden», dijo Demetrius Comes, CISO de GoDaddy, en el aviso del sitio web.

Específicamente, los atacantes comprometieron el entorno de alojamiento administrado de WordPress de GoDaddy, un servicio de creación de sitios que permite a las empresas y a las personas usar el popular sistema de administración de contenido (CMS) de WordPress en un entorno alojado, sin tener que administrarlo y actualizarlo de forma independiente.

«Usando una contraseña comprometida, un tercero no autorizado accedió al sistema de aprovisionamiento en nuestra base de código heredado para WordPress administrado», según Comes.

La información que los ciberdelincuentes al acecho han podido o han podido robar es una mezcla. La compañía con sede en Scottsdale, Arizona, dijo que incluía:

  • Correos electrónicos y números de clientes para 1,2 millones de clientes administrados de WordPress activos e inactivos
  • sFTP y nombres de usuario y contraseñas de bases de datos para clientes activos (las contraseñas ahora se restablecen)
  • Claves privadas SSL «para un subconjunto de clientes activos» que se utilizan para autenticar sitios web para usuarios de Internet, habilitar el cifrado y prevenir ataques de suplantación de identidad. GoDaddy está emitiendo e instalando nuevos certificados para los clientes afectados.

No adjuntó números sobre cuántos clientes se ven afectados por el acceso a la base de datos o el compromiso del certificado.

«Nuestra investigación está en curso y estamos contactando a todos los clientes afectados directamente con detalles específicos», concluyó Comes. «Aprenderemos de este incidente y ya estamos tomando medidas para fortalecer nuestro sistema de aprovisionamiento con capas adicionales de protección».

Además, quedan dudas sobre cómo se protegió la cuenta: ¿se estaba utilizando una contraseña segura o autenticación multifactor (MFA)?

“La pregunta clave es, ‘¿estaba en uso el multifactor?’ Con esta infracción causada por una credencial comprometida, no imagino que el inicio de sesión estuviera protegido por autenticación multifactor, que es un elemento que podría haber causado esta infracción ”, dijo Randy Watkins, director de tecnología de Critical Start, por correo electrónico. administrar claves y contraseñas es crucial. Hacer cumplir los privilegios mínimos, cuando corresponda, puede reducir el impacto de una credencial comprometida, pero aún así es mejor proteger cada inicio de sesión con MFA y monitorear las cuentas de servicio que no son compatibles con MFA «.

Cuando se trata de las consecuencias para los afectados, el phishing posterior es lo más obvio a tener en cuenta, según lo informado por GoDaddy en su anuncio. Pero también se deben considerar otros problemas, dijeron los investigadores.

«Esta violación podría significar algunas cosas para los usuarios», dijo Watkins. “Existe la posibilidad de que se puedan utilizar claves o credenciales para obtener acceso o hacerse pasar por los sitios de los clientes. Cualquiera de estos escenarios podría llevar a un compromiso de esas organizaciones [customers’] datos también. Si bien esta infracción solo será un inconveniente en su mayor parte, otros podrían sufrir daños graves en la marca de los sitios suplantados o una infracción real. «

Según Murali Palanisamy, director de soluciones de AppViewX, las claves privadas comprometidas y los certificados SSL también podrían permitir a los piratas informáticos secuestrar un nombre de dominio y usarlo para obtener un rescate por su devolución.

«También pueden redirigir a los usuarios a lo que parece ser un sitio web idéntico y distribuir malware o recopilar credenciales de usuario e información de tarjetas de crédito y más», dijo por correo electrónico. «Todas estas amenazas son eventos de nivel de extinción».

Añadió que, si bien GoDaddy está trabajando para actualizar los certificados SSL, llevará algún tiempo hacerlo, por lo que es posible que los clientes quieran tomar el asunto en sus propias manos.

«Para mitigar las vulnerabilidades actuales, los clientes de GoDaddy deben verificar que sus certificados estén actualizados y cambiar las contraseñas para el acceso sFTP a números, letras y símbolos nuevos y únicos», dijo. «También recomendaría incorporar una función de agilidad criptográfica, que permitirá una transferencia rápida de certificados y claves».

A largo plazo, los usuarios también pueden incorporar certificados automatizados de corta duración.

«De esa manera, si las claves están comprometidas, los atacantes no las utilizan y reduce la ventana de oportunidad para ataques tan sofisticados», dijo. «Los clientes de GoDaddy deben monitorear la actividad inusual e informar cualquier señal de advertencia al gobierno / FTC lo antes posible».

Este es solo el último incidente de datos de la empresa. El año pasado, GoDaddy fue noticia con tres incidentes separados.

El primero salió a la luz en marzo de 2020, cuando un atacante suplantó a un empleado para obtener acceso al sistema de soporte interno de GoDaddy y continuó editando al menos cinco entradas de nombres de dominio de clientes.

Luego, en mayo de 2020, la compañía afirmó que los ciberdelincuentes habían robado las credenciales de la cuenta de alojamiento web de los clientes (nombre de usuario y contraseña SSH), después de obtener acceso a sus sistemas desde octubre de 2019 hasta abril de 2020. ‘incidente, 28,000 de los 19 millones de usuarios activos de la compañía fueron afectados por el ataque.

Y en noviembre pasado, un ataque de ingeniería social «vishing» contra los empleados de GoDaddy entregó temporalmente el control de los sitios de servicios de criptomonedas NiceHash y Liquid a los estafadores, exponiendo la información personal de los usuarios.

Anteriormente, GoDaddy también expuso información de configuración de alto nivel para decenas de miles de sistemas (y opciones de precios sensibles a la competencia para ejecutar esos sistemas) en Amazon AWS en 2018, gracias a una configuración incorrecta del almacenamiento en la nube.

«Debido a su historial de incidentes cibernéticos, GoDaddy se ha convertido en un objetivo fácil», dijo Nick Tausek, arquitecto de soluciones de seguridad en Swimlane. “Opera 35,000 servidores que albergan más de cinco millones de sitios web, y millones de personas confían en sus servicios para las operaciones diarias de sus negocios y pasatiempos. Debido al nivel de dependencia del usuario, las repercusiones pueden ser severas cuando surge una situación como esta ”.

Threatpost se acercó a GoDaddy para obtener una declaración, pero la compañía no respondió de inmediato una solicitud de comentarios.

.

Deberías compartir en en tu Twitter y Facebook para que tus amigos lo consulten

??? ? ? ???

Comparte

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *