GoDaddy hackeado, 1,2 millones de clientes en riesgo de ataque de phishing
Se expusieron las direcciones de correo electrónico de los clientes, al igual que las credenciales de inicio de sesión de WordPress y la base de datos.
El registrador de dominios GoDaddy ha compartido detalles de una grave brecha de seguridad que expuso los detalles de 1,2 millones de clientes.
En una divulgación a la Comisión de Bolsa y Valores de EE. UU., Demetrius Comes, director de seguridad de la información de GoDaddy, compartió detalles del ataque. Se descubrió actividad sospechosa el 17 de noviembre en el entorno de alojamiento de WordPress administrado de la empresa , que resultó ser un tercero que usaba una contraseña comprometida para obtener acceso.
Hasta 1,2 millones de clientes de WordPress administrado activos e inactivos tuvieron sus direcciones de correo electrónico y números de clientes expuestos. El tercero también obtuvo acceso a la contraseña de administrador de WordPress para estas cuentas, así como al nombre de usuario y la contraseña de la base de datos sFTP para los clientes activos. Para un "subconjunto de clientes activos", también se expuso la clave privada SSL.
GoDaddy está investigando el ataque con la ayuda de una firma forense de TI y la policía ha estado involucrada. Las contraseñas para las cuentas de WordPress y el acceso a la base de datos ya se han restablecido y se están emitiendo nuevos certificados SSL para los clientes afectados.
Aunque la compañía admite que las direcciones de correo electrónico que se exponen presentan el riesgo de ataques de phishing , hasta el momento no se ha ofrecido ninguna protección gratuita.
Comes concluye la divulgación declarando:
"Lamentamos sinceramente este incidente y la preocupación que causa a nuestros clientes. Nosotros, el liderazgo y los empleados de GoDaddy, tomamos muy en serio nuestra responsabilidad de proteger los datos de nuestros clientes y nunca queremos defraudarlos. Aprenderemos de este incidente y ya estamos tomando medidas para fortalecer nuestro sistema de aprovisionamiento con capas adicionales de protección ".
GoDaddy, una empresa de alojamiento web y dominios de Internet, anunció que casi 1,2 millones de las cuentas de sus clientes quedaron expuestas en un ataque reciente.
La compañía estadounidense presentó un informe de incidente ante la Comisión de Bolsa y Valores (SEC) el lunes, indicando que había identificado una 'actividad sospechosa' en su entorno de alojamiento de WordPress administrado.
Según el documento, "un tercero no autorizado accedió al sistema de aprovisionamiento en nuestra base de código heredado para WordPress administrado".
GoDaddy señala que se recopilaron correos electrónicos y números de clientes durante el ataque y advierte que esto podría resultar en ataques de phishing, un tipo de estafa en la que un atacante envía un mensaje fraudulento diseñado para engañar a la víctima para que les brinde información confidencial.
"Identificamos actividad sospechosa en nuestro entorno de alojamiento de WordPress administrado e inmediatamente comenzamos una investigación con la ayuda de una firma forense de TI y contactamos a la policía", dijo el director de seguridad de la información, Demetrius Comes, en la presentación.
La compañía, cuyas acciones cayeron alrededor de un 1,6 por ciento en las primeras operaciones del lunes, dijo que había bloqueado de inmediato al tercero no autorizado y que aún se estaba investigando.
GoDaddy descubrió que el tercero no autorizado accedió a su sistema el 6 de septiembre de 2021, pero la firma no identificó el adjunto hasta el 17 de noviembre.
Para los clientes activos, se expuso el Protocolo de transferencia de archivos SSH, que es un protocolo de red que proporciona acceso, transferencia y administración de archivos a través de un flujo de datos, y se expusieron los nombres de usuario y las contraseñas de la base de datos.
Sin embargo, la presentación dice que GoDaddy ha restablecido ambas contraseñas.
Comes también señala que la firma está trabajando con las fuerzas del orden y las empresas forenses de TI privadas, según Engadget, que informó por primera vez sobre el asunto.
"Lamentamos sinceramente este incidente y la preocupación que causa a nuestros clientes", escribió Comes en la presentación de la SEC.
'Nosotros, el liderazgo y los empleados de GoDaddy, tomamos nuestra responsabilidad de proteger los datos de nuestros clientes muy en serio y nunca queremos defraudarlos. Aprenderemos de este incidente y ya estamos tomando medidas para fortalecer nuestro sistema de aprovisionamiento con capas adicionales de protección '.
Esta no es la primera vez que GoDaddy ha sido atacado: en 2012, un incidente separado cerró todos los sitios web alojados en su sistema, lo que afectó a miles, tal vez incluso a millones, de empresas.
El ataque dejó los sitios web fuera de línea durante varias horas el 10 de septiembre y un feed de Twitter afirmaba estar afiliado al grupo de piratas informáticos 'Anónimo'.
FoxNews luego identificó al pirata informático como el usuario de Twitter Own3r después de que envió un correo electrónico al sitio y verificaron la identidad del estafador a través de varias afirmaciones de Twitter.
La compañía confirmó un ataque más reciente a GoDaddy en mayo de 2020 , admitiendo que 28,000 cuentas de alojamiento de clientes se vieron comprometidas en una violación de seguridad.
Según BleepingComputer , GoDaddy informó recientemente a los clientes que una "persona no autorizada" había obtenido acceso a la información de inicio de sesión de las cuentas de alojamiento de la empresa.
GoDaddy dice que aunque se había accedido a las cuentas de usuario, no había evidencia de que hubieran sido modificadas. Desde entonces, ha restablecido las contraseñas de los afectados.
También señala que solo se vio comprometida la información de inicio de sesión y contraseña de las cuentas de alojamiento, mientras que las cuentas principales no se habían violado.
Fuentes:
https://www.pcmag.com/news/godaddy-hacked-12m-customers-at-risk-of-phishing-attack
