Web-hosting raksasa GoDaddy telah mengkonfirmasi pelanggaran data lain, kali ini mempengaruhi setidaknya 1,2 juta pelanggannya.
Pada hari Senin, pencatat domain terbesar di dunia mengatakan dalam pengajuan publik ke SEC bahwa “pihak ketiga yang tidak sah” berhasil menyusup ke sistemnya pada 6 September – dan bahwa orang tersebut terus mengakses selama hampir dua setengah bulan sebelum GoDaddy mengetahui pelanggaran tersebut pada 17 November“Kami mengidentifikasi aktivitas mencurigakan di lingkungan hosting WordPress Terkelola kami dan segera memulai penyelidikan dengan bantuan firma forensik TI dan penegak hukum yang dihubungi,” Demetrius Comes, GoDaddy CISO, mengatakan dalam pemberitahuan situs web.
Secara khusus, penyerang mengkompromikan lingkungan hosting WordPress Terkelola GoDaddy – layanan pembuatan situs yang memungkinkan perusahaan dan individu untuk menggunakan yang populer Sistem manajemen konten (CMS) WordPress di lingkungan yang dihosting, tanpa harus mengelola dan memperbaruinya sendiri.
“Menggunakan compro kata sandi yang salah, pihak ketiga yang tidak sah mengakses sistem penyediaan di basis kode warisan kami untuk WordPress Terkelola,” menurut Comes.
Informasi yang dapat dicuri oleh penjahat dunia maya yang mengintai adalah beragam. Perusahaan yang berbasis di Scottsdale, Arizona mengatakan bahwa itu termasuk:
<
ul>
<
ul>isFTP dan nama pengguna dan kata sandi basis data untuk pelanggan aktif (kata sandi sekarang disetel ulang) kunci pribadi liu
- iSSL “untuk sebagian dari pelanggan aktif ,” digunakan untuk mengautentikasi situs web ke pengguna internet, mengaktifkan enkripsi, dan mencegah serangan peniruan identitas. GoDaddy sedang dalam proses menerbitkan dan memasang sertifikat baru untuk pelanggan yang terpengaruh.
Itu tidak melampirkan nomor berapa banyak pelanggan yang terpengaruh oleh log-in database atau kompromi sertifikat.
“Penyelidikan kami sedang berlangsung, dan kami menghubungi semua mempengaruhi pelanggan secara langsung dengan detail spesifik, ”pungkas Comes. “Kami akan belajar dari insiden ini dan telah mengambil langkah-langkah untuk memperkuat sistem penyediaan kami dengan lapisan perlindungan tambahan.”
Pertanyaan juga tetap ada tentang bagaimana akun itu sendiri dilindungi: Apakah kata sandi yang kuat digunakan, atau otentikasi multi-faktor (MFA) )?
“Pertanyaan kuncinya adalah, ‘apakah multifaktor digunakan?’ Dengan pelanggaran ini disebabkan oleh kredensial yang disusupi, saya tidak akan membayangkan login dilindungi oleh otentikasi multi-faktor, yang merupakan elemen yang dapat menyebabkan hal ini pelanggaran,” Randy Watkins, CTO di Critical Start, mengatakan melalui email. “Ke depan, manajemen kunci dan kata sandi sangat penting. Menerapkan hak istimewa paling rendah jika memungkinkan dapat mengurangi dampak kredensial yang disusupi, tetapi tetap yang terbaik adalah melindungi setiap login dengan MFA dan memantau akun layanan yang tidak mendukung MFA.” terpengaruh, phishing lanjutan adalah hal yang jelas harus diwaspadai, seperti yang ditandai oleh GoDaddy dalam pengumumannya. Tetapi masalah lain juga harus dipertimbangkan, kata para peneliti.
“Pelanggaran ini dapat berarti beberapa hal bagi pengguna,” kata Watkins. “Ada kemungkinan bahwa kunci atau kredensial dapat digunakan untuk mendapatkan akses atau meniru situs pelanggan. Salah satu dari skenario ini dapat menyebabkan kompromi data [pelanggan] organisasi tersebut juga. Meskipun pelanggaran ini hanya akan menjadi ketidaknyamanan bagi sebagian besar, yang lain mungkin memiliki kerusakan merek yang serius dari situs yang ditiru atau pelanggaran yang sebenarnya. ”
Menurut Murali Palanisamy, kepala petugas solusi untuk AppViewX, kunci dan sertifikat pribadi SSL yang disusupi juga dapat memungkinkan peretas untuk membajak nama domain dan menggunakannya untuk memeras uang tebusan agar dikembalikan.
“Mereka juga dapat mengarahkan pengguna ke apa yang tampak sama situs web dan menyebarkan malware atau mengumpulkan kredensial pengguna dan informasi kartu kredit dan banyak lagi,” katanya melalui email. “Semua ancaman ini adalah peristiwa tingkat kepunahan.”
Dia menambahkan bahwa sementara GoDaddy bekerja untuk memperbarui sertifikat SSL, itu akan memakan waktu untuk mencapai hal ini, sehingga pelanggan mungkin ingin mengambil tindakan sendiri.
“Untuk mengurangi saat ini kerentanan, pelanggan GoDaddy perlu memeriksa bahwa sertifikat diperbarui dan mengubah kata sandi untuk akses sFTP ke angka, huruf, dan simbol yang baru dan unik,” katanya. “Saya juga merekomendasikan untuk menggabungkan kemampuan kelincahan kriptografi, yang akan memungkinkan rollover cepat sertifikasi dan kunci.”
Dalam jangka panjang, pengguna juga dapat menggabungkan sertifikat otomatis berumur pendek.
“Dengan cara ini, jika kunci disusupi, mereka tidak digunakan oleh penyerang, dan peluang untuk serangan canggih seperti itu berkurang,” katanya. “Pelanggan GoDaddy harus memantau aktivitas yang tidak biasa dan melaporkan tanda bahaya apa pun kepada pemerintah/FTC sesegera mungkin.”
Riwayat Insiden Siber GoDaddy
Ini hanya insiden data terbaru perusahaan. Tahun lalu, GoDaddy menjadi berita utama dengan tiga insiden terpisah.
Yang pertama terungkap pada Maret 2020, ketika seorang penyerang melakukan phishing kepada seorang karyawan untuk mendapatkan akses ke sistem dukungan internal GoDaddy dan kemudian mengubah setidaknya lima entri nama domain pelanggan.
Kemudian, pada Mei 2020, perusahaan mengatakan bahwa penjahat dunia maya telah mencuri kredensial akun hosting web pelanggan (nama pengguna dan kata sandi SSH), setelah mengakses sistemnya dari Oktober 2019 hingga April 2020. Dalam insiden itu, 28.000 dari 19 juta pengguna aktif perusahaan terpengaruh oleh serangan tersebut.
Dan November lalu, serangan “vishing” rekayasa sosial terhadap karyawan GoDaddy untuk sementara menyerahkan kendali atas situs layanan cryptocurrency NiceHash dan Liquid kepada penipu, mengungkap informasi pribadi pengguna.
Sebelum itu, GoDaddy juga mengekspos tingkat tinggi informasi konfigurasi untuk puluhan ribu sistem (dan opsi harga yang sensitif terhadap persaingan untuk menjalankan sistem tersebut) di Amazon AWS pada tahun 2018, berkat misconfiguration.
penyimpanan cloud“Karena sejarahnya dengan insiden cyber, GoDaddy telah menjadi sasaran empuk,” kata Nick Tausek, arsitek solusi keamanan di Swimlane. “Ini mengoperasikan 35.000 server yang menampung lebih dari lima juta situs web, dengan jutaan orang mengandalkan layanannya untuk operasi sehari-hari bisnis dan hobi mereka. Karena tingkat ketergantungan pengguna, akibatnya bisa parah ketika situasi seperti ini muncul dengan sendirinya.”
Threatpost menghubungi GoDaddy untuk meminta pernyataan, tetapi perusahaan tidak segera membalas permintaan komentar.
Ada lautan data tidak terstruktur di internet yang berkaitan dengan ancaman keamanan terbaru. DAFTAR HARI INI untuk mempelajari konsep kunci pemrosesan bahasa alami (NLP) dan cara menggunakannya untuk menavigasi lautan data dan menambahkan konteks ke ancaman keamanan siber (tanpa menjadi ahli!). Balai Kota Threatpost interaktif LANGSUNG ini, disponsori oleh Rapid 7, akan menampilkan peneliti keamanan Erick Galinkin dari Rapid7 dan Izzy Lazerson dari IntSights (perusahaan Rapid7), ditambah jurnalis Threatpost dan pembawa acara webinar, Becky Bracken.
Tulis komentar
Bagikan artikel ini:
<
ul>iPrivacy
luuKeamanan Web