Hơn một triệu khách hàng lưu trữ GoDaddy bị vi phạm dữ liệu vào tháng 9 năm 2021 đã không được chú ý trong hai tháng. GoDaddy mô tả sự kiện bảo mật như một lỗ hổng. Các nhà nghiên cứu bảo mật chỉ ra rằng nguyên nhân của lỗ hổng là do bảo mật không đầy đủ không đáp ứng các thực tiễn tốt nhất của ngành.
Tuyên bố của GoDaddy thông báo rằng họ đã thay đổi mật khẩu cho khách hàng bị ảnh hưởng của Hosting được quản lý WordPress của họ.
Tuy nhiên, chỉ cần thay đổi mật khẩu không khắc phục hoàn toàn các vấn đề có thể xảy ra bởi tin tặc, điều đó có nghĩa là tới 1,2 triệu khách hàng lưu trữ GoDaddy có thể bị ảnh hưởng bởi các vấn đề bảo mật.
GoDaddy thông báo cho SEC vi phạm
Vào ngày 22 tháng 11 năm 2021 GoDaddy thông báo cho Ủy ban An ninh và Trao đổi Hoa Kỳ [SEC] mà họ đã phát hiện ra "quyền truy cập của bên thứ ba trái phép" với môi trường lưu trữ WordPress được quản lý của họ.
Điều tra của GoDaddy tiết lộ rằng sự xâm nhập bắt đầu vào ngày 6 tháng 9 năm 2021 và chỉ được phát hiện vào ngày 17 tháng 11, hai tháng sau đó.
Người bị ảnh hưởng và như thế nào
Tuyên bố của GoDaddy nói rằng lên tới 1,2 triệu khách hàng trong môi trường lưu trữ do WordPress quản lý của họ có thể bị ảnh hưởng bởi vi phạm an ninh.
Theo tuyên bố vào SEC, vi phạm dữ liệu là do mật khẩu bị xâm nhập trong hệ thống cung cấp của họ.
Một hệ thống cung cấp là quá trình thiết lập khách hàng với các dịch vụ lưu trữ mới của họ, bằng cách gán cho họ không gian máy chủ, tên người dùng và mật khẩu.
GoDaddy giải thích những gì đã xảy ra:
"Sử dụng mật khẩu bị xâm nhập, bên thứ ba trái phép được truy cập hệ thống cung cấp trong cơ sở mã kế thừa của chúng tôi để quản lý WordPress."
Dữ liệu khách hàng của GoDaddy đã được tiếp xúc:
- Địa chỉ email
- Số khách hàng
- Mật khẩu cấp quản trị viên WordPress gốc
- Secure FTP [SFTP] Tên người dùng và mật khẩu
- Tên người dùng và mật khẩu cơ sở dữ liệu
- Phím riêng SSL
Những gì gây ra sự vi phạm an ninh Godaddy
GoDaddy mô tả nguyên nhân của sự xâm nhập như là một lỗ hổng. Một lỗ hổng thường được coi là điểm yếu hoặc lỗ hổng trong mã hóa phần mềm nhưng nó cũng có thể phát sinh từ một sai sót trong các biện pháp bảo mật tốt.
Các nhà nghiên cứu bảo mật từ Wordfence đã phát hiện ra sự giật mình rằng Hosting được quản lý của Godaddy đã lưu trữ tên người dùng SFTP và mật khẩu theo cách không phù hợp với các thực tiễn tốt nhất trong ngành.
SFTP là viết tắt của giao thức chuyển tập tin an toàn. Đây là một giao thức truyền tệp cho phép ai đó tải lên và tải xuống các tệp từ máy chủ lưu trữ bằng kết nối an toàn.
Theo các chuyên gia bảo mật Wordfence, tên người dùng và mật khẩu được lưu trữ theo cách văn bản đơn giản không được mã hóa, cho phép tin tặc tự do thu hoạch tên người dùng và mật khẩu.
Wordfence giải thích sai sót bảo mật mà họ phát hiện ra:
"GoDaddy đã lưu trữ mật khẩu SFTP theo cách mà các phiên bản hàng rào của mật khẩu có thể được truy xuất, thay vì lưu trữ băm muối của các mật khẩu này hoặc cung cấp xác thực khóa công khai, cả hai thực tiễn tốt nhất trong ngành.
... Lưu trữ mật khẩu văn bản gốc hoặc mật khẩu ở định dạng có thể đảo ngược cho những gì về cơ bản là kết nối SSH không phải là một thực hành tốt nhất. "
Vấn đề bảo mật của GoDaddy vẫn có thể đang diễn ra
Tuyên bố của GoDaddy cho SEC tuyên bố rằng việc tiếp xúc với các email của khách hàng có thể dẫn đến các cuộc tấn công lừa đảo. Họ cũng liên lạc rằng tất cả các mật khẩu được thiết lập lại cho khách hàng bị ảnh hưởng, dường như đóng cửa vi phạm an ninh, nhưng đó không phải là trường hợp.
Tuy nhiên, trong cả hai tháng đã trôi qua khi thời gian GoDaddy phát hiện ra sự mất điện an ninh và sự xâm nhập có nghĩa là các trang web được lưu trữ trên GoDaddy vẫn có thể ở trạng thái bị xâm phạm nếu các tệp độc hại chưa bị xóa.
Không đủ để thay đổi mật khẩu của các trang web bị ảnh hưởng, quét bảo mật kỹ lưỡng nên được thực hiện để đảm bảo rằng bất kỳ trang web bị ảnh hưởng nào không có backdoors, Trojan và tệp độc hại.
Tuyên bố chính thức của GoDaddy đã không nói bất cứ điều gì về việc giảm thiểu tác động của các trang web đã bị xâm nhập.
Các nhà nghiên cứu an ninh tại Wordfence thừa nhận thiếu sót này:
"... Kẻ tấn công đã có gần một tháng rưỡi truy cập trong đó họ có thể đã tiếp quản các trang web này bằng cách tải phần mềm độc hại hoặc thêm một người dùng quản trị độc hại. Làm như vậy sẽ cho phép kẻ tấn công duy trì sự tồn tại và giữ quyền kiểm soát các trang web ngay cả sau khi mật khẩu đã được thay đổi. "
Wordfence cũng nói rằng thiệt hại không giới hạn ở các doanh nghiệp được lưu trữ trên Hosting được quản lý WordPress. Các nhà nghiên cứu bảo mật đã quan sát thấy rằng hacker truy cập vào cơ sở dữ liệu trang web có thể dẫn đến quyền truy cập vào thông tin khách hàng của trang web, tiết lộ thông tin khách hàng nhạy cảm được lưu trữ tại các trang web thương mại điện tử.
Ảnh hưởng của vi phạm dữ liệu Godaddy có thể tiếp tục
GoDaddy chỉ thông báo rằng họ đã thiết lập lại mật khẩu.Tuy nhiên, không có gì được nói về việc xác định và sửa chữa các cơ sở dữ liệu bị xâm nhập, loại bỏ các tài khoản quản trị viên lừa đảo và tìm các tập lệnh độc hại đã được tải lên, chưa đề cập đến các vi phạm dữ liệu có thể có thông tin khách hàng nhạy cảm từ các trang web thương mại điện tử được lưu trữ trên Godaddy.
Trích dẫn
GoDaddy công bố sự cố bảo mật ảnh hưởng đến dịch vụ WordPress được quản lý
Đọc báo cáo bảo mật Wordfence
GoDaddy vi phạm - mật khẩu giấy - 1,2m bị ảnh hưởng