网络托管巨头GoDaddy已确认数据泄露,这次至少影响了120万客户。这家全球最大的域名注册商周一在向美国证券交易委员会提交的一份公开文件中表示,一名未经授权的攻击者于9月6日和11月17日渗透了其系统,攻击者在GoDaddy之前维持了近两个半月的访问权限注意到了这个漏洞。“我们在WordPress托管环境中发现了可疑的攻击活动,在一家IT取证公司的帮助下,我们立即开始调查并联系了相关执法部门,”GoDaddy的首席信息官在网站公告中说。具体来说,攻击者破坏了GoDaddy的WordPress托管环境,该网站构建服务允许公司和个人在托管环境中使用流行的WordPress内容管理系统(CMS),而无需自行管理和更新。研究人员表示,未经授权的攻击者使用泄露的密码来访问我们管理WordPress的系统。卧铺网络犯罪分子窃取的信息包括:120万个活跃和不活跃的WordPress管理员帐户电子邮件和客户编号活跃客户的sFTP和数据库用户名和密码(密码现已重置)。SSL私钥,该工具用于验证网站对互联网用户的合法性,实现加密,防止假冒攻击。GoDaddy正在为受影响的客户颁发和安装新证书。它没有具体说明有多少客户受到数据库泄露或凭据泄露的影响。该公司表示:“我们的调查正在进行中,我们正在与所有受影响的客户联系。我们将从这一事件中吸取教训,并已采取措施加强我们的供应系统,并采取额外的保护措施。”公司是否使用强密码保护帐户或多因素身份验证(MFA),该帐户采用的保护方法仍然未知。“目前的关键问题是是否使用多因素认证?”研究人员通过电子邮件说。由于这次的漏洞是凭据泄露导致的,我认为系统没有使用多因素认证保护机制,这可能是导致本次漏洞的主要因素。展望未来,密码管理至关重要。尽可能使用最低权限可以减少凭据被盗的影响,但最好使用MFA保护每个登录用户并监控不同的用户。支持MFA的服务帐户。“窃取GoDaddy客户信息的网络罪犯说明了对用户的影响,正如GoDaddy在其公告中指出的那样,随后的网络钓鱼攻击显然是一个问题。但是,还应考虑其他问题研究人员表示,该漏洞可能对用户意味着几件事。有犯罪分子很可能会使用密码或登录凭据来访问其他系统。这两种情况中的任何一种都可能导致这些组织的数据遭到破坏。根据首席解决方案官MuraliPalanisamy的说法,SSL私钥和证书遭到破坏可能还允许黑客劫持域名并用它来勒索赎金。他们还可以将用户重定向到看似相同的网站,并部署恶意软件或获取用户凭据和信用卡信息等。所有这些威胁都非常严重严肃的事情。他补充说,虽然GoDaddy正在努力更新其SSL证书,但完成这项工作需要A很多时间。为减轻此漏洞的影响,GoDaddy客户需要检查证书是否已续订,并将sFTP访问密码更改为具有唯一数字、字母和符号的新字符串。从长远来看,用户还可以安装短期自动证书。这样,如果密钥被泄露,攻击者就无法使用它们,用户受到攻击的可能性也会大大降低。GoDaddy客户应及时监控异常活动并尽快做出响应。向政府报告。GoDaddy的网络事件历史这只是该公司今年最新的数据泄露事件。去年,GoDaddy因三起安全事件受到广泛关注。第一起事件于2020年3月曝光,当时一名攻击者对一名员工进行了网络钓鱼,获得了对GoDaddy内部系统的访问权限,并修改了至少五名客户的域条目。然后,在2020年5月,该公司表示,网络犯罪分子在2019年10月窃取了客户的网络托管帐户凭据(SSH用户名和密码),并在2020年4月之前访问了其系统。在那次事件中,该公司1900万活跃用户中的28,000人受到了损害。而在去年11月,针对GoDaddy员工的社会工程钓鱼攻击导致加密货币服务网站NiceHash和Liquid被攻击者临时接管,大量用户个人信息外泄。在此之前,早在2018年,由于云存储配置错误,GoDaddy还暴露了亚马逊AWS中数万个系统的高级配置信息(以及运行这些系统的敏感信息)。由于过去的网络事件,GoDaddy已成为一个容易攻击的目标,它运行着35,000台服务器托管着超过500万个网站,数百万人依赖其服务进行日常业务运营。因为用户对此的依赖度很高,所以当出现这样的情况时,大众的反应会非常强烈。本文翻译自:https://threatpost.com/godaddys-latest-breach-customers/176530/如有转载请注明出处。
