Un altro enorme incidente di sicurezza informatica ha colpito il registrar di domini GoDaddy. Il violazione dei dati su larga scala è il quinto “infortunio” che l'azienda ha subito da 2018. Questa volta, 1.2 milioni di clienti GoDaddy sono stati colpiti, dopo che una terza parte non autorizzata si è infiltrata con successo nei suoi sistemi a settembre 6.
L'attore della minaccia ha continuato ad avere accesso per quasi due mesi e mezzo, prima che la società di web hosting notasse la violazione a novembre 17.
Questo è quando GoDaddy "ha notato attività sospette" nel suo ambiente di hosting WordPress gestito. Un'indagine è stata avviata poco dopo, con l'aiuto di una società di informatica forense. Sono state contattate anche le forze dell'ordine.
Aggiornamento novembre 24, 2021
Si scopre che i rivenditori GoDaddy sono stati interessati dalla violazione dei dati che abbiamo segnalato ieri, in particolare 123Reg, fabbrica di dominio, heart Internet, Host Europe, Media Temple e tsoHost. "Un piccolo numero di utenti attivi e inattivi di Managed WordPress di quei marchi è stato colpito dall'incidente di sicurezza. Nessun altro marchio è interessato. Questi marchi hanno già contattato i rispettivi clienti con dettagli specifici e azioni consigliate,"Ha detto Dan Rice, Vicepresidente delle comunicazioni aziendali presso GoDaddy.
Come è avvenuta la violazione dei dati di GoDaddy??
L'attore di minacce sconosciuto ha utilizzato una password compromessa per ottenere un punto d'appoggio nel sistema di provisioning nella base di codice legacy dell'azienda per Managed WordPress.
Di conseguenza, almeno 1.2 milioni di clienti attivi e inattivi di Managed WordPress hanno mostrato il loro indirizzo e-mail e il numero del cliente, GoDaddy ha affermato nella nota ufficiale di violazione. Questo espone i clienti ad un alto rischio di attacchi di phishing.
Cos'altro è stato esposto?
"La password originale dell'amministratore di WordPress impostata al momento del provisioning è stata esposta. Se quelle credenziali fossero ancora in uso, reimpostiamo quelle password,"ha aggiunto la società di web hosting. Anche le credenziali sFTP e del database sono state esposte per i clienti attivi. Entrambe le password dovevano essere reimpostate.
“Per un sottoinsieme di clienti attivi, la chiave privata SSL è stata esposta. Stiamo emettendo e installando nuovi certificati per quei clienti,"Ha aggiunto la società.
L'indagine è ancora in corso, e i clienti interessati vengono contattati con dettagli specifici. Se sei interessato dalla violazione dei dati, puoi contattare l'azienda tramite il loro centro assistenza.
È curioso ricordare che GoDaddy è una delle aziende che ha contribuito a creare il kill switch del malware Sunburst. A seguito della scoperta del malware e vista la gravità della situazione, un team congiunto di esperti di Microsoft, Vai papà, e FireEye hanno ideato il cosiddetto kill switch per impedire al malware di propagarsi ulteriormente.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: