网络托管巨头GoDaddy已经证实了此次数据泄露事件,这次至少影响了120万客户。
周一,这家世界上最大的域名注册商在提交给美国证券交易委员会的一份公开文件中说,一个未经授权的攻击者在9月6日渗透进入到了其系统内,11月17日前,在GoDaddy注意到该漏洞之前,该攻击者已持续访问了近两个半月。
GoDaddy首席信息官在网站公告中说,我们在我们的WordPress托管环境中发现了可疑的攻击活动,在一家IT取证公司的帮助下立即开始调查,并联系了相关的执法部门。
具体来说,攻击者破坏了GoDaddy的WordPress托管环境,这是一项建站服务,它允许公司和个人在托管环境中使用流行的WordPress内容管理系统(CMS),而不需要自己管理和更新它。
研究人员说,一个未经授权的攻击者使用了一个被泄露的密码,进入到了我们管理WordPress的系统中。
潜伏的网络犯罪分子窃取了诸多信息,其中包括:
120万名活跃的和非活跃的WordPress管理账户的电子邮件和客户号码
活跃客户的sFTP和数据库用户名和密码(密码现在已经被重置)。
SSL私钥,该工具用于向互联网用户验证网站的合法性,实现加密并防止冒充攻击。GoDaddy正在为受影响的客户发放和安装新的证书。
它并没有具体说明有多少客户受到了数据库泄露或证书泄露的影响。
公司声称:"我们的调查正在进行中,我们正在与所有受影响的客户进行联系,我们将从这次事件中吸取教训,并且已经开始采取措施,采用其他的保护措施来加强我们的供应系统。"
公司保护账号是使用强密码,还是多因素认证(MFA),关于账户采用的保护方式目前尚且未知。
研究人员通过电子邮件说:"目前的关键问题是是否使用了多因素认证?由于这次的漏洞是由凭证泄露造成的,我想系统并没有使用多因素认证的保护机制,而这可能是造成这次漏洞的主要因素。今后,密码管理至关重要。在可能的情况下采用最小特权可以减少凭证被窃取后所带来的影响,但最好还是用MFA保护每个登录用户,并监控不支持MFA的服务账户。"
网络犯罪分子窃取GoDaddy的客户信息
谈到对用户的影响,正如GoDaddy在其公告中指出的那样,后续的网络钓鱼攻击明显是一个很需要注意的问题。但是,其他问题也同样应该被考虑到。
研究人员说,这个漏洞对用户来说可能意味着以下几件事。密码或登录凭证很有可能被犯罪分子用来获得其他系统的访问权。这两种情况中的任何一种都可能导致这些组织的数据被泄露。
据首席解决方案官Murali Palanisamy说,被破坏的SSL私钥和证书还可以让黑客劫持域名,并利用它来勒索赎金。他通过电子邮件说,他们还可以将用户重定向到看似相同的网站,并部署恶意软件或收集用户凭证和信用卡信息等等。所有这些威胁都是非常严重的事情。
他补充说,虽然GoDaddy正在努力更新SSL证书,但完成这项工作需要很多时间。
为了缓解该漏洞造成的影响,GoDaddy的客户需要检查证书是否已被更新,并将sFTP访问密码改为新的且带有独特的数字、字母和符号的字符串。
从长远来看,用户也可以安装短期的自动证书。这样一来,如果密钥被破坏,它们就不会被攻击者使用,用户被攻击的可能性就会减少很多,GoDaddy的客户应该及时监测异常活动,并尽快向政府报告情况。
GoDaddy 的网络事件历史记录
这只是该公司今年最新的数据泄露事件。去年,GoDaddy因三起安全事件被广泛关注。
第一起事件是在2020年3月曝光的,当时一名攻击者对一名员工进行了钓鱼攻击,获得了GoDaddy内部系统的访问权限,并修改了至少五个客户的域名条目。
然后,在2020年5月,该公司表示,网络犯罪分子在2019年10月至2020年4月期间访问其系统后,盗取了客户的网络托管账户凭证(SSH用户名和密码)。在那次事件中,该公司的1900万活跃用户中有28000人受到了攻击。
而在去年11月,针对GoDaddy员工的社会工程学钓鱼攻击使得加密货币服务网站NiceHash和Liquid暂时被攻击者接管,泄露了大量用户的个人信息。
在此之前,早在2018年,由于云存储的错误配置,GoDaddy还暴露了亚马逊AWS中数万个系统的高级配置信息(以及运行这些系统的敏感信息)。
由于其过去发生的网络事件,GoDaddy已经成为了一个很容易被攻击的目标,它运行着35,000台服务器,托管着500多万个网站,有数百万人依靠它的服务进行日常业务的运作。由于用户对此有很高的依赖程度,当出现这样的情况时,群众反响会很强烈。
本文翻译自:https://threatpost.com/godaddys-latest-breach-customers/176530/如若转载,请注明原文地址