Неавторизованное лицо смогло получить доступ к учетным данным ряда аккаунтов хостинг-компании.
Веб-хостинг-провайдер и регистратор доменов GoDaddy пострадал от нарушения данных, в результате которого были скомпрометированы учетные данные примерно 28 000 клиентов. В уведомлении о нарушении, направленном в Генеральную прокуратуру Калифорнии, компания обнаружила, что подозрительная деятельность произошла на некоторых ее серверах 19 октября 2019 года. После расследования компания GoDaddy узнала, что неавторизованное лицо получило доступ к учетным данным клиентов, которые используют SSH (Secure Shell) для подключения к своим хостинговым аккаунтам.
Подробнее о кибербезопасности
Компания предоставила более подробную информацию в следующем заявлении, предоставленном TechRepublic:
"23 апреля 2020 года мы идентифицировали имена пользователей и пароли SSH, которые были взломаны неавторизованным лицом в нашей хостинговой среде. Это затронуло примерно 28 000 клиентов. Мы немедленно сбросили эти имена пользователей и пароли, удалили авторизованный SSH-файл с нашей платформы и не имеем никаких признаков того, что данное лицо использовало учетные данные наших клиентов или изменяло какие-либо учетные записи клиентов хостинга. Физическое лицо не имело доступа к основным аккаунтам клиентов GoDaddy".
SSH предлагает безопасный способ работы с удаленными системами и передачи файлов по сети. В такой компании, как GoDaddy, SSH используется клиентами для подключения к своим хостинговым аккаунтам для загрузки или перемещения файлов и выполнения команд через командную строку.
В своем уведомлении компания заявила, что не нашла никаких доказательств того, что какие-либо файлы были добавлены или изменены для пострадавших учетных записей, хотя она продолжает изучать потенциальное воздействие. Инцидент был ограничен хостинговыми учетными записями пользователей и не повлиял на реальные учетные записи клиентов. Человек, идентифицированный в нарушении, с тех пор был заблокирован от систем GoDaddy's.
GoDaddy также рекомендовал пользователям провести аудит их хостинговых аккаунтов. Кроме того, компания заявила, что предоставит пострадавшим пользователям бесплатный год Site Security Deluxe и Express Malware Removal, услуги по сканированию веб-сайтов клиентов на предмет любых потенциальных проблем с безопасностью.
GoDaddy не раскрыл точной причины нарушения данных. Но в марте представитель клиентской службы компании был завален фишинговым электронным письмом, по сообщению новостного сайта безопасности KrebsOnSecurity. Злоумышленник смог просмотреть и изменить несколько клиентских записей, в том числе настройки домена для нескольких клиентов GoDaddy, таких как сайт брокерских операций escrow.com. В последующем уведомлении генеральный директор escrow.com Мэтт Барри (Matt Barrie) сообщил, что его компании удалось восстановить контроль над записями DNS.
При утечке данных, как правило, виновата некоторая уязвимость или ошибка, связанная с несанкционированным доступом. Хитрые киберпреступники постоянно ищут слабые места и недостатки в сети организации. Вот почему предприятия должны прилагать согласованные усилия для поддержания и усиления мер безопасности, особенно когда у них есть ключи от данных частных клиентов.
"Неясно, был ли инцидент, о котором сообщил GoDaddy, связан с повторным использованием ранее украденных учетных данных или с атаками с применением грубой силы", - сказал TechRepublic Мэтт Уолмсли (Matt Walmsley), директор по безопасности в регионе EMEA компании Vectra. "Также были недавние сообщения об успешном фишинге сотрудников службы поддержки GoDaddy, которые могут быть связаны". Независимо от того, как был получен несанкционированный доступ, это четкое напоминание о том, что мониторинг того, как используются привилегированные учетные данные, а не просто выдаются, может сделать разницу между обнаружением активной атаки и блаженным незнанием нарушения".
Согласно Джозефу Карсону, главному научному сотруднику по вопросам безопасности и консультативному органу CISO в компании "Тайкокоттик", утечка данных должна стать серьезной проблемой для потребителей "Годди". Любой несанкционированный доступ с использованием учетных записей SSH не должен был произойти, если компания использовала многофакторную аутентификацию (MFA) или управление привилегированным доступом (PAM) для учетных записей удаленного доступа.
"Нарушение безопасности данных, подобное этому на крупном хостинг-провайдере, является существенной проблемой, так как оно может открыть двери для бизнеса многих своих клиентов через несанкционированные изменения конфигурации на их веб-сайтах", - сказал Карсон. "Хуже того, это может позволить киберпреступнику вносить изменения в веб-сервисы, которые могут украсть данные, информацию о кредитных картах или пароли учетных записей".
Чтобы защититься от такого рода утечек данных, организациям необходимо убедиться в том, что они используют комплексную защиту. Как всегда, цель состоит в том, чтобы предотвратить такие проникновения до того, как они произойдут. Но технологии могут зайти так далеко. Организациям также необходимо информировать своих сотрудников о фишинговой электронной почте и других типах атак, предназначенных для использования конфиденциальных данных.
Клиенты и пользователи также должны следовать соответствующим рекомендациям по безопасности для защиты своих учетных записей в Интернете. Следующие советы всегда стоит повторять:
Создайте надежный пароль. Жонглирование всеми паролями, которые вы используете в Интернете, является сложной задачей. Но вы все равно должны придумать надежный пароль для своих учетных записей, чтобы максимально обезопасить их от хакеров. Если вы не можете создать или запомнить надежные пароли, лучше всего воспользоваться менеджером паролей.
Используйте двухступенчатую верификацию (или двухфакторную аутентификацию). Использование верификационного кода, отправленного на Ваш мобильный телефон или электронную почту, является вторичным средством подтверждения Ваших логинов. Даже если бы киберпреступник получил доступ к вашим учетным данным, он не смог бы войти в вашу учетную запись, не зная сопроводительного кода.
