A GoDaddy, um dos maiores registradores de domínios do mundo, emissora de certificados digitais SSL e uma empresa de hospedagem na web que presta serviços a aproximadamente 19 milhões de clientes em todo o mundo, confirmou uma violação de dados.
De acordo com um relatório da BleepingComputer, a GoDaddy notificou alguns de seus clientes de que uma parte não autorizada usava suas credenciais de conta de hospedagem na web para se conectar à conta de hospedagem via SSH.
SSH — ou Secure Socket Shell — é um protocolo de rede que proporciona aos usuários uma forma segura de acessar um computador em uma rede desprotegida. Ele fornece comunicação de dados criptografados entre dois computadores conectados e uma autenticação robusta em uma rede aberta, como a Internet
A GoDaddy alega que a violação ocorreu em 19 de outubro de 2019 e foi descoberta em 23 de abril de 2020, depois que a equipe de segurança da empresa descobriu um arquivo SSH alterado no ambiente de hospedagem da GoDaddy e atividade suspeita em um subconjunto dos servidores da GoDaddy.
O vice-presidente de comunicações corporativas da GoDaddy disse posteriormente à BleepingComputer em comunicado oficial que cerca de 28.000 contas de hospedagem de clientes foram afetadas no incidente:
“Em 23 de abril de 2020, identificamos que os nomes de usuário e senhas do SSH foram comprometidos por um arquivo SSH alterado em nossa hospedagem. Isso afetou aproximadamente 28.000 clientes. Redefinimos imediatamente esses nomes de usuário e senhas, removemos o arquivo SSH ofensivo da nossa plataforma e não temos indicação de que o agente de ameaças usou as credenciais de nossos clientes ou modificou quaisquer contas de hospedagem de clientes. ator não teve acesso às principais contas do GoDaddy dos clientes “.
Em uma carta de notificação, a GoDaddy diz que a investigação descobriu que um indivíduo autorizado tinha acesso às informações de login usadas para conectar-se ao SSH para hospedar contas.
“Esse incidente tem escopo limitado à sua conta de hospedagem”, disse GoDaddy a seus clientes. “Sua principal conta de cliente do GoDaddy.com e as informações armazenadas em sua conta de cliente não foram acessíveis por esse agente de ameaças.”
“Não está claro se o incidente relatado pelo GoDaddy foi por causa da reutilização de credenciais anteriormente roubadas ou por ataques de força bruta. Também houve relatos recentes de que os funcionários de suporte do GoDaddy foram phishing com êxito, que podem estar conectados. Independentemente de como o acesso não autorizado foi obtido, é um lembrete preciso de que o monitoramento de como as credenciais privilegiadas são usadas, e não apenas concedidas, pode fazer a diferença entre detectar um ataque ativo e ser felizmente ignorante a uma violação.”
A Vectra tem foco em solução de detecção e resposta de rede (NDR) baseada em AI para nuvem, SaaS, data center e infra-estruturas corporativas em tempo real, enquanto capacita os analistas de segurança a realizar investigações conclusivas de incidentes e busca de ameaças auxiliada por IA. A empresa Vectra trabalha na busca proativa de ciberataques e na redução de riscos nos negócios. Sua equipe principal é formada por pesquisadores de ameaças cibernéticas.
Segundo a Forbes, Yana Blachman, especialista em inteligência de ameaças em Venafi declarou que,
“A violação do GoDaddy destaca o quão importante é a segurança do SSH. O SSH é usado para acessar os ativos mais críticos de uma organização, por isso é vital que as organizações atinjam o nível mais alto de segurança do acesso SSH, desativem a autenticação básica de credenciais e usem identidades de máquina”, disse Blachman, “isso envolve a implementação de fortes políticas públicas e privadas. criptografia de chave para autenticar um usuário e um sistema “. A Venafi é uma empresa privada de segurança cibernética que desenvolve software para proteger e proteger chaves criptográficas e certificados digitais
Quais contas do GoDaddy são afetadas pela violação?
É importante ressaltar que o email do GoDaddy dizia que a violação é limitada apenas à hospedagem de contas e não envolveu contas de clientes ou informações pessoais armazenadas nelas.
Ele observou que não foram encontradas evidências que sugerissem que os arquivos foram modificados ou adicionados às contas afetadas, mas não mencionaram se os arquivos foram visualizados ou copiados.
No entanto, todos os logons de conta de hospedagem afetados foram redefinidos e o email continha o procedimento que os clientes precisam seguir para recuperar o acesso às contas de hospedagem em questão.
O GoDaddy também recomendou, “com muita cautela”, que os usuários auditem suas contas de hospedagem.
Com Informações da Forbes e BleepingComputer
Apple, Google, GoDaddy emitiram Certificados TLS com números de série fracos