0
0
A GoDaddy, a popular empresa de registradores de domínios da Internet e hospedagem na web, sofreu uma violação de dados que afetou mais de um milhão de seus clientes Managed WordPress.
O que aconteceu?
“Em 17 de novembro de 2021, descobrimos acesso não autorizado de terceiros ao nosso ambiente de hospedagem Managed WordPress”, explicou o CISO da empresa, Demetrius Comes, em um arquivamento nos EUA. Comissão de Valores Mobiliários. “Usando uma senha comprometida, um terceiro não autorizado acessou o sistema de provisionamento em nossa base de código legado para WordPress Gerenciado.”
Aparentemente, a violação começou em 6 de setembro de 2021 e permitiu que o atacante tivesse acesso a:
- Endereços de e-mail e números de clientes de até 1,2 milhão de clientes WordPress gerenciados ativos e inativos
- A senha original do WordPress Admin que foi definida no momento do provisionamento
- Para clientes ativos: nomes de usuário e senhas sFTP e banco de dados
- Para um subconjunto de clientes ativos: a chave privada SSL
A investigação ainda está em andamento, mas, enquanto isso, a GoDaddy redefiniu as senhas originais do WordPress Admin ainda em uso, as senhas sFTP e do banco de dados para clientes ativos e está em processo de emissão e instalação de novos certificados SSL para os clientes ativos cuja chave privada SSL foi exposta. Eles também alertaram os clientes sobre possíveis ataques de phishing facilitados pelo comprometimento de seus endereços de e-mail e números de clientes.
Potencial precipitação para os clientes afetados
“Parece que o GoDaddy estava armazenando credenciais sFTP como texto simples ou em um formato que poderia ser revertido em texto simples. Eles fizeram isso em vez de usar um hash salgado, ou uma chave pública, ambos considerados as melhores práticas do setor para sFTP. Isso permitiu que um invasor tivesse acesso direto às credenciais de senha sem a necessidade de quebrá-las”, observou Mark Maunder, CEO da Defiant, a empresa por trás do Wordfence, um dos plugins de segurança mais populares para WordPress.
O invasor ter acesso a senhas sFTP e de banco de dados por quase um mês e meio significa que eles tiveram muito tempo para assumir esses sites fazendo upload de malware ou adicionando um usuário administrativo malicioso, acrescentou. A mesma coisa foi possível (e mais fácil) usando a senha de administrador padrão (em sites onde ela não foi alterada).
“Além disso, com o acesso ao banco de dados, o invasor teria tido acesso a informações confidenciais, incluindo PII do cliente do site (informações pessoalmente identificáveis) armazenadas nos bancos de dados dos sites afetados, e pode ter sido capaz de extrair o conteúdo de todos os bancos de dados afetados na íntegra. Isso inclui informações como os hashes de senha armazenados nos bancos de dados de contas de usuário do WordPress dos sites afetados e informações de clientes de sites de comércio eletrônico”, continuou Maunder.
“Em sites onde a chave privada SSL foi exposta, pode ser possível para um invasor descriptografar o tráfego usando a chave privada SSL roubada, desde que eles pudessem executar com sucesso um ataque man-in-the-middle (MITM) que intercepta o tráfego criptografado entre um visitante do site e um site afetado.”
Ele diz que todos os usuários do GoDaddy Managed WordPress devem assumir que foram violados e certificar-se de realizar uma série de ações de resposta a incidentes e mitigação de riscos.
Jim Taylor, Diretor de Produto da SecurID, observou que phishing, aquisição de conta e personificação da marca podem criar grandes danos aos usuários da GoDaddy, pois esses ataques podem permitir que hackers enganem clientes, prejudiquem a reputação de uma marca, façam alterações em seu site corporativo, exponham os negócios a violações do GDPR e muito mais.
“Além disso, se as credenciais vazadas do GoDaddy forem as mesmas ou semelhantes a outros serviços de terceiros ou informações administrativas, os cibercriminosos poderão se infiltrar em uma rede corporativa ou lançar um ataque de ransomware”, disse ele à Help Net Security.
Ele também apontou que, embora a pessoa não autorizada tenha usado uma senha comprometida para obter acesso aos sistemas da GoDaddy, ainda não está claro se a senha comprometida foi protegida com autenticação de dois fatores.
Murali Palanisamy, Diretor de Soluções da AppViewX, diz que chaves e certificados privados SSL comprometidos também podem permitir que hackers sequestrassem um nome de domínio e o mantenham como resgate.
“Enquanto a GoDaddy está trabalhando para atualizar todos os novos certificados SSL, levará tempo para conseguir isso. Como tal, para mitigar as vulnerabilidades atuais, os clientes da GoDaddy precisam verificar se os certificados são atualizados e alterar as senhas para acesso sFTP a números, letras e símbolos novos e exclusivos. Eu também recomendaria incorporar uma capacidade de agilidade criptográfica, que permitirá um rápido rollover de certificações e chaves”, aconselha ele.
“Por fim, a resolução de longo prazo para garantir que o ativo mais valioso de uma organização – sua presença digital – seja protegido é começar a usar certificados de curta duração e incorporar automação completa para gerenciar seu ciclo de vida. Dessa forma, se as chaves forem comprometidas, elas não serão usadas por atacantes e a janela de oportunidade para ataques tão sofisticados será reduzida. Os clientes da GoDaddy devem monitorar atividades incomuns e relatar quaisquer bandeiras vermelhas ao governo/FTC o mais rápido possível.”
FONTE: HELPNET SECURITY