GoDaddy разбрали за пробив в мрежата им след повече от два месеца
Тази седмица уебхостинг колоса GoDaddy за извършена сполучлива офанзива към мрежата им, при която данните на повече от 1.2 милиона техни клиенти са попаднали в риск. Новината за това пристигна от подадени в понеделник документи от компанията в Комисията по скъпите бумаги и тържищата на Съединени американски щати (Securites and Exchange Commision, SEC). От информацията, импортирана от GoDaddy в SEC излиза наяве, че те са разбрали за пробива след повече от два месеца. GoDaddy откриват на 17-ти този месец, че при започване на септември незнайна страна е съумяла да компрометира мрежите им.
„Идентифицирахме подозрителна интензивност в Managed WordPress хостинг средата ни и неотложно започнахме следствие благодарение на компания за разбор на киберинциденти, свързахме се и с правоохранителните органи“, написа на уеб страницата на GoDaddy, основният отговорник по осведомителна сигурност към компанията Деметриус Комс. „Искрено съжаляваме за този случай и терзанията, които предизвиква на нашите клиенти. Ние, управлението на GoDaddy и чиновниците на компанията, одобряваме с изключителна отговорност нашата роля да пазиме потребителската информация и в никакъв случай не сме желали да ги разочароваме. Ще се поучим от този случай и към този момент подхващаме стъпки да заздравим системите ни с спомагателни защити“. Това, което е позитивно в тази ситуация е, че GoDaddy са подхванали нужните ограничения за ограничение на вредите за засегнатите от пробива незабавно щом са разбрали за него. Лошото е, че са разбрали за него след повече от два месеца.
• От известието на Комс излиза наяве, че са наранени данните на 1.2 милиона консуматори на дейни и неактивни менажирани WordPress инстанции – имейли и номера.
• Оригиналната ключова дума за WordPress Admin, сложена във времето, в която мрежата е била изложена на офанзивата. Тези пароли са били изменени към този момент.
• Били са изложени също двойките потребителско име и ключова дума за sFTP и базите данни на дейни консуматори – те също към този момент са изменени заради съображения за сигурност.
• Частните SSL ключове на някои към момента дейни клиенти. Компанията е в развой на издаване и инсталиране на нови документи за въпросните клиенти.
От обявата на GoDaddy излиза наяве, че незнайна към този момент страна е съумяла да се снабди с достъп до хостинг средата на Managed WordPress – услуга, предоставяна от компанията за ръководство на WordPress съоръжения на клиентите им – след кражбата на данните за регистриране и добит достъп до системата за обслужване във към този момент неподдържана кодова база на Managed WordPress.
Опасностите пред засегнатите консуматори тук са няколко и разнообразни. Освен провеждането на фишинг акции, хакерите могат да употребяват откраднатите данни, с цел да завладяват напълно WP уеб сайтове, след което да желаят откуп за приемането на противоположен достъп до тях от притежателите им, разпространението на злотворен код към посетителите на тези уеб сайтове и различен вид офанзиви.
„Има възможност ключовете или данните за регистриране да се употребяват за придобиването на достъп или до основаването на точни копия на тези уеб сайтове. При който и да е от тези два сюжета, това би довело до кражбата на потребителска информация. И до момента в който този пробив за някои може да се окаже в последна сметка просто известно стеснение, то за други може да има съществени последици, като репутационни вреди от основаването на сходни огледални копия или същински пробив“, в отговор на питане от страна на ThreatPost Ранди Уоткинс от Critical Start. Според Мурали Паланисами от AppViewX кражбата на документи и ключове може да докара до основаването на идентични уеб сайтове, които да популяризират злотворен код към нищо неподозиращите гости на страниците, кражбата на данни за регистриране и банкова информация. Самата смяна на SSL документите ще отнеме време, добавя той.
„За да се избегнат актуалните опасности, клиентите на GoDaddy би трябвало да ревизират дали документите им са актуализирани и да трансформират паролите за достъп до sFTP на нови такива, които са сложни“, пие Паланисами.
Настоящият случай напълно не е индивидуален случай в историята на компанията, като последния сходен случай беше от май предходната година, когато незнайна страна съумява да се снабди със SSH имената и паролите на близо 30 000 дейни консуматори. И сходно на сегашния случай, GoDaddy схващат за него след това – хакерите са били получили достъп до системи на компанията в продължение на половин година – от октомври 2019 до април 2020.
„Заради историята си с киберинциденти, GoDaddy се трансфораха в лесна мишена“, счита Ник Таусек от Swimlane. „Те поддържат 35 000 сървъра, помещаващи над пет милиона уеб страницата, с милиони хора, които разчитат на услугите им за своите всекидневни действия и занимания. И когато възникне обстановка, като актуалната, последствията могат да бъдат извънредно съществени, точно поради това равнище на взаимозависимост на толкоз доста хора от услугите, които GoDaddy предоставя“.
„Идентифицирахме подозрителна интензивност в Managed WordPress хостинг средата ни и неотложно започнахме следствие благодарение на компания за разбор на киберинциденти, свързахме се и с правоохранителните органи“, написа на уеб страницата на GoDaddy, основният отговорник по осведомителна сигурност към компанията Деметриус Комс. „Искрено съжаляваме за този случай и терзанията, които предизвиква на нашите клиенти. Ние, управлението на GoDaddy и чиновниците на компанията, одобряваме с изключителна отговорност нашата роля да пазиме потребителската информация и в никакъв случай не сме желали да ги разочароваме. Ще се поучим от този случай и към този момент подхващаме стъпки да заздравим системите ни с спомагателни защити“. Това, което е позитивно в тази ситуация е, че GoDaddy са подхванали нужните ограничения за ограничение на вредите за засегнатите от пробива незабавно щом са разбрали за него. Лошото е, че са разбрали за него след повече от два месеца.
• От известието на Комс излиза наяве, че са наранени данните на 1.2 милиона консуматори на дейни и неактивни менажирани WordPress инстанции – имейли и номера.
• Оригиналната ключова дума за WordPress Admin, сложена във времето, в която мрежата е била изложена на офанзивата. Тези пароли са били изменени към този момент.
• Били са изложени също двойките потребителско име и ключова дума за sFTP и базите данни на дейни консуматори – те също към този момент са изменени заради съображения за сигурност.
• Частните SSL ключове на някои към момента дейни клиенти. Компанията е в развой на издаване и инсталиране на нови документи за въпросните клиенти.
От обявата на GoDaddy излиза наяве, че незнайна към този момент страна е съумяла да се снабди с достъп до хостинг средата на Managed WordPress – услуга, предоставяна от компанията за ръководство на WordPress съоръжения на клиентите им – след кражбата на данните за регистриране и добит достъп до системата за обслужване във към този момент неподдържана кодова база на Managed WordPress.
Опасностите пред засегнатите консуматори тук са няколко и разнообразни. Освен провеждането на фишинг акции, хакерите могат да употребяват откраднатите данни, с цел да завладяват напълно WP уеб сайтове, след което да желаят откуп за приемането на противоположен достъп до тях от притежателите им, разпространението на злотворен код към посетителите на тези уеб сайтове и различен вид офанзиви.
„Има възможност ключовете или данните за регистриране да се употребяват за придобиването на достъп или до основаването на точни копия на тези уеб сайтове. При който и да е от тези два сюжета, това би довело до кражбата на потребителска информация. И до момента в който този пробив за някои може да се окаже в последна сметка просто известно стеснение, то за други може да има съществени последици, като репутационни вреди от основаването на сходни огледални копия или същински пробив“, в отговор на питане от страна на ThreatPost Ранди Уоткинс от Critical Start. Според Мурали Паланисами от AppViewX кражбата на документи и ключове може да докара до основаването на идентични уеб сайтове, които да популяризират злотворен код към нищо неподозиращите гости на страниците, кражбата на данни за регистриране и банкова информация. Самата смяна на SSL документите ще отнеме време, добавя той.
„За да се избегнат актуалните опасности, клиентите на GoDaddy би трябвало да ревизират дали документите им са актуализирани и да трансформират паролите за достъп до sFTP на нови такива, които са сложни“, пие Паланисами.
Настоящият случай напълно не е индивидуален случай в историята на компанията, като последния сходен случай беше от май предходната година, когато незнайна страна съумява да се снабди със SSH имената и паролите на близо 30 000 дейни консуматори. И сходно на сегашния случай, GoDaddy схващат за него след това – хакерите са били получили достъп до системи на компанията в продължение на половин година – от октомври 2019 до април 2020.
„Заради историята си с киберинциденти, GoDaddy се трансфораха в лесна мишена“, счита Ник Таусек от Swimlane. „Те поддържат 35 000 сървъра, помещаващи над пет милиона уеб страницата, с милиони хора, които разчитат на услугите им за своите всекидневни действия и занимания. И когато възникне обстановка, като актуалната, последствията могат да бъдат извънредно съществени, точно поради това равнище на взаимозависимост на толкоз доста хора от услугите, които GoDaddy предоставя“.
Източник: kaldata.com
КОМЕНТАРИ