GoDaddy amplia impacto e brecha também inclui subsidiárias de Revenda

A violação do GoDaddy afetando 1,2 milhão de clientes aumentou – várias subsidiárias que revendem o GoDaddy Managed WordPress também foram afetadas.

As empresas afetadas adicionais são 123Reg, Domain Factory, Heart Internet, Host Europe, Media Temple e tsoHost.

O maior registrador de domínio do mundo confirmou aos pesquisadores do Wordfence que vários clientes dessas marcas foram afetados pelo incidente de segurança (e o Wordfence forneceu avisos de notificação de violação de dois deles em uma postagem na terça-feira).

“As marcas GoDaddy que revendem GoDaddy Managed WordPress são 123Reg, Domain Factory, Heart Internet, Host Europe, Media Temple e tsoHost”, disse Dan Rice, vice-presidente de comunicações corporativas da GoDaddy, ao Wordfence. “Um pequeno número de usuários do Managed WordPress ativos e inativos nessas marcas foram afetados pelo incidente de segurança. Nenhuma outra marca foi afetada. Essas marcas já contataram seus respectivos clientes com detalhes específicos e ações recomendadas. ”

Não está claro exatamente quantos usuários adicionais foram afetados pela violação ampliada.

O ambiente de hospedagem Managed WordPress da GoDaddy é um serviço de construção de sites que permite que empresas e indivíduos usem o popular sistema de gerenciamento de conteúdo (CMS) WordPress em um ambiente hospedado sem ter que gerenciá-lo e atualizá-lo por conta própria.

Na segunda-feira, a gigante da hospedagem na web disse em um arquivamento público à SEC que um “terceiro não autorizado” conseguiu se infiltrar em seus sistemas Managed WordPress a partir de 6 de setembro, usando credenciais roubadas – e que os invasores permaneceram lá por quase dois e meio meses antes de GoDaddy perceber a violação em 17 de novembro.

Os dados roubados incluíram:

• E-mails e números de clientes para 1,2 milhão de clientes do Managed WordPress ativos e inativos
• sFTP e nomes de usuário e senhas de banco de dados para clientes ativos (as senhas foram redefinidas)
• Chaves privadas SSL “para um subconjunto de clientes ativos”, usadas para autenticar sites para usuários da Internet, habilitar a criptografia e prevenir ataques de personificação. GoDaddy está em processo de emissão e instalação de novos certificados para os clientes afetados.

O Wordfence observou que todos os provedores de hospedagem afetados estão usando URLs para fazer login no serviço, começando com “https://myh.secureserver.net/#/hosting/mwp/v1/” para provisionamento, gerenciamento de conta e configuração de seu WordPress gerenciado ofertas e senhas de armazenamento sFTP que podem ser recuperadas em texto simples.

Ev Kontsevoy, CEO da Teleport, observou que o caso é mais um motivo pelo qual as senhas na infraestrutura de computação precisam ser eliminadas. Ele defendeu que as empresas deveriam migrar para dispositivos de segurança específicos que usam criptografia de chave pública / privada, junto com biometria.

“Infelizmente [esta violação] está destinada a ser outra nota de rodapé na lista contínua de vazamentos de dados causados ​​por gerenciamento de senha com falha”, disse Kontsevoy por e-mail. “No início deste ano, descobrimos que o hack que derrubou o Colonial Pipeline era o resultado de uma única senha comprometida. As senhas estão por toda parte, então, eventualmente, vamos vê-las vazadas, interceptadas ou roubadas. ”

Ele acrescentou: “Como uma indústria, precisamos construir sistemas responsáveis ​​que protejam os dados do usuário e evitem que a infraestrutura crítica que mantemos seja usada para expor ou comprometer esses dados. Remover senhas de nossa infraestrutura é um passo nesse sentido. ”

Fonte: https://threatpost.com/